מסמך זה כולל את הסכם השירות הכללי (MSA), הסכם עיבוד המידע האישי (DPA) ושבעה נספחי שירות של קבוצת פאנץ’ וי.פי.אס בע”מ, ח.פ. 516569720. התנאים חלים על כלל שירותי החברה. ללקוחות קיימים: התנאים נכנסים לתוקף ביום 10.08.2026. להתקשרויות חדשות: מיום החתימה על הצעת המחיר.
גרסה 1.1 · עודכן 02.07.2026 · תוקף ללקוחות קיימים: 10.08.2026
הנוסח העברי הוא הנוסח המחייב. התרגום לאנגלית ניתן לנוחות בלבד.
תוכן עניינים
חלק א’ תנאי שירות כלליים (MSA)
תנאי שירות אלה (להלן: “ההסכם”) נכרתים בין קבוצת פאנץ’ וי.פי.אס בע”מ, ח.פ. 516569720 (להלן: “החברה”) לבין הלקוח כפי שמזוהה בהצעת המחיר או בטופס ההתקשרות (להלן: “הלקוח”). ההסכם חל על כל שירותי החברה הניתנים ללקוח, בין במישרין ובין באמצעות נספחים ייעודיים לכל סוג שירות.
1. הגדרות
“החברה” — קבוצת פאנץ’ וי.פי.אס בע”מ, ח.פ. 516569720.
“יום עסקים” — ימים א’-ה’, למעט ערבי חג וימי חג במדינת ישראל.
“שעת עבודה” — 60 דקות עבודה של נציג החברה, הנמדדות ביחידות של 15 דקות; יחידה שהחלה נמנית במלואה.
“הלקוח” — אדם פרטי או תאגיד שהתקשר עם החברה לקבלת השירותים.
“השירותים” — שירותי התשתית, האחסון, הגיבוי, IT, רישוי תוכנה או כל שירות אחר שהוסכם בהצעת המחיר ובנספח הרלוונטי.
“הצעת מחיר” — המסמך שעליו חתם הלקוח (פיזית או דיגיטלית) המפרט את השירותים שהוזמנו, המחיר ותקופת ההתקשרות; ובהיעדר הצעת מחיר חתומה — תנאי השירות בפועל כפי שעולים מהזמנת השירות, החשבוניות שהונפקו, התשלומים ששולמו, וההתנהלות בפועל בין הצדדים (Course of Dealing).
“מידע אישי” — כהגדרתו בחוק הגנת הפרטיות, התשמ”א-1981, וב-GDPR (Regulation (EU) 2016/679).
“מערכת” — תשתית הענן, השרתים, ממשקי הניהול, מערכות הגיבוי וכל רכיב אחר שמספקת החברה לצורך מתן השירותים.
“חתימה אלקטרונית” — כהגדרתה בחוק חתימה אלקטרונית, התשס”א-2001.
2. ההסכם ומסמכיו
- הסכם זה כולל: (א) את המסמך הראשי (חלק א’); (ב) את ה-DPA (חלק ב’); (ג) את הנספח/ים הספציפיים לשירותים שהוזמנו; (ד) את מדיניות השימוש המקובלת (נספח 7); (ה) את הצעת המחיר החתומה.
- במקרה של סתירה בין מסמכים, תכריע הצעת המחיר החתומה, ולאחריה הנספח הספציפי, ולאחריו המסמך הראשי.
- חתימה דיגיטלית על הצעת מחיר באמצעות המערכת הדיגיטלית של החברה מהווה חתימה מחייבת על מלוא מסמכי ההסכם, ובכלל זה הנספחים המקושרים בו, וזאת בהתאם לחוק חתימה אלקטרונית, התשס”א-2001.
- תחולה על לקוחות קיימים והיסטוריים (Course of Dealing):
- מובהר ומוסכם כי תנאי הסכם זה חלים על כל לקוח המקבל שירותים מהחברה במועד תחילת תוקפם של תנאים אלה, וזאת בין אם נחתם בעבר הסכם פורמלי בין הצדדים, בין אם לאו, ובין אם הסכם קודם אבד או אינו זמין לאחד הצדדים.
- היחסים החוזיים בין הצדדים נוצרו ומתקיימים מכוח התנהגותם בפועל — הזמנת השירות על ידי הלקוח, אספקתו בידי החברה, הנפקת חשבוניות וקבלת תשלום באופן שוטף — והם תקפים ומחייבים גם ללא מסמך פיזי חתום, וזאת בהתאם לעקרון Course of Dealing ולעקרון תום הלב הקבוע בסעיף 39 לחוק החוזים (חלק כללי), התשל”ג-1973.
- תחילת תוקפם של תנאים אלה ביחס ללקוחות קיימים תהיה 30 יום ממועד הקדום מבין: (א) משלוח הודעה לכתובת המייל הרשומה של הלקוח אצל החברה; (ב) פרסום התנאים באתרי החברה (punchvps.com / pcpunch.co.il).
- הסכמה מכוח התנהגות (Acceptance by Conduct): המשך קבלת השירות, תשלום חשבוניות, או כל שימוש בשירותי החברה לאחר מועד תחילת התוקף — מהווה הסכמה מלאה ובלתי-מסויגת לתנאי הסכם זה, על כל סעיפיו ונספחיו. הלקוח רשאי, אם אינו מסכים לתנאים, להפסיק את השירות בהודעה לפי סעיף 4 להלן, וזאת במהלך תקופת ההודעה.
- במקרה של סתירה בין תנאים אלה לבין הסכם פורמלי חתום וקודם — יגבר ההסכם הקודם באותם עניינים שהוסדרו בו במפורש (ובכלל זה מחיר, רמת שירות והיקף); בכל עניין שההסכם הקודם אינו מסדיר במפורש, יחולו תנאים אלה כתנאים משלימים. הצדדים רשאים, בהסכמה, לחתום על הצעת מחיר מחודשת שתחיל את מלוא התנאים העדכניים על ההתקשרות.
3. תיאור השירותים
- החברה תספק ללקוח את השירותים שפורטו בהצעת המחיר ובנספח הרלוונטי, בהתאם לתנאי הסכם זה.
- החברה תהא רשאית להיעזר בקבלני משנה, ספקי תשתית וצדדים שלישיים לצורך מתן השירותים, ובלבד שתישא באחריות ישירה כלפי הלקוח לרמת השירות המוסכמת.
- שירותים שאינם כלולים: אלא אם נקבע במפורש בנספח ייעודי, השירותים אינם כוללים: שירותי תגובה לאירוע (Incident Response), חקירת חדירה פוסט-אירוע (Forensics), ניהול אירוע סייבר, תפקידי קצין אבטחת מידע (CISO), ייעוץ אבטחת מידע מתקדם, ניתוח לוגים פוסט-תקיפה, מבדקי חדירה (Penetration Testing), בדיקות פגיעות (Vulnerability Assessment), דוחות פערים (Gap Analysis), ביקורות אבטחה (Security Audit), ביקורות עמידה ברגולציה (Compliance Audit לרבות ISO 27001, SOC 2, ת”י 27001, תקנות הגנת הפרטיות), שירותי SOC (מרכז ניטור אבטחה), שירותי NOC (מרכז תפעול רשת), תכנון, כתיבה או תפעול של תוכנית התאוששות מאסון (DRP) או תוכנית המשכיות עסקית (BCP), סיוע במילוי שאלוני אבטחה, ביטוח, ספקים או רגולציה עבור הלקוח, או תפעול מערכות הלקוח ברמת אפליקציה.
- היותם של נושאי משרה בחברה בעלי הסמכה מקצועית בתחום אבטחת המידע אינה הופכת זאת לחלק מהשירותים החוזיים. שירותים כאמור, ככל שיידרשו, יתומחרו ויסוכמו במסמך נפרד.
3א. תלות ברכיבי תוכנה, רישוי ופלטפורמות של צדדים שלישיים
- השירותים מסתמכים על רכיבי תוכנה, רישיונות ופלטפורמות של צדדים שלישיים, ובכלל זה: תוכנות פאנל ניהול ושרת, מערכות הגנת קצה וסינון, מערכות גיבוי, מערכות וירטואליזציה, רכיבי קוד פתוח ושירותי רשת ותקשורת (להלן: “רכיבי צד שלישי”). הלקוח מאשר כי רכיבים אלה אינם בפיתוח החברה ואינם בשליטתה המלאה.
- שינויים אצל ספק צד שלישי: החברה אינה אחראית לשינויים ברכיבי צד שלישי שמקורם בספק, ובכלל זה שינוי תכונות או ממשק, הפסקת מוצר או גרסה, שינוי תנאי רישוי או הפסקת תמיכה. החברה תפעל במאמצים סבירים לאתר חלופה שוות ערך או לעדכן את הלקוח על השלכות השינוי.
- עדכון מחיר בעקבות ספק: העלאת מחיר רישוי או תשתית על ידי ספק צד שלישי מהווה עילה לעדכון מחיר לפי סעיף 5.5 להלן, באותם תנאים (הודעה מוקדמת של 30 יום וזכות הפסקת שירות).
- אירוע אבטחה אצל ספק צד שלישי: פגיעה, פרצה או דליפה שמקורן במוצר או בתשתית של ספק צד שלישי (לרבות פגיעת שרשרת אספקה בעדכון תוכנה של הספק) אינן מהוות הפרת ההסכם על ידי החברה, ובלבד שהחברה יישמה את עדכוני האבטחה שפרסם הספק בתוך זמן סביר ופעלה בהתאם להנחיותיו. החברה תעדכן את הלקוח ותפעל לצמצום החשיפה בהתאם לסעיף 6 לחלק ב’ (DPA).
- החלפת רכיב: החברה רשאית להחליף רכיב צד שלישי ברכיב חלופי בעל יכולות דומות בסבירות, ובלבד שרמת השירות הכוללת לא תיפגע באופן מהותי.
4. תקופת ההסכם והפסקת השירות
- תקופת ההתקשרות תהא כמפורט בהצעת המחיר. בהיעדר ציון אחר, ההסכם הוא לתקופה בלתי קצובה, חודש בחודשו, מתחדש אוטומטית.
- הלקוח רשאי להפסיק את ההתקשרות בכל עת בהודעה בכתב לחברה, מינימום 30 יום מראש. הפסקה לא תזכה בהחזר עבור תקופה ששולמה מראש, אלא אם נקבע אחרת בנספח הרלוונטי.
- החברה רשאית להפסיק את ההתקשרות בהודעה של 30 יום מראש; ובמקרה של הפרה מהותית של ההסכם על ידי הלקוח — לאלתר, בכפוף להוראות סעיף 10 להלן.
- בתום ההתקשרות מכל סיבה שהיא — החברה תהא רשאית למחוק את נתוני הלקוח לאחר 30 יום מתום ההתקשרות, אלא אם הלקוח ביקש בכתב להמתין או אם החוק מחייב שמירה ארוכה יותר.
5. תנאי תשלום ושער המרה
- הלקוח ישלם לחברה את הסכומים הנקובים בהצעת המחיר, כנגד חשבונית מס. המחיר אינו כולל מע”מ אלא אם נקבע אחרת.
- אמצעי תשלום: התשלום יבוצע באמצעי שסוכם עם הלקוח (כרטיס אשראי, העברה בנקאית או הוראת קבע). תשלום בכרטיס אשראי מבוצע באמצעות ספק סליקה חיצוני העומד בתקן PCI-DSS, בשיטת טוקניזציה (Tokenization); מספר הכרטיס המלא אינו נשמר במאגרי החברה.
- חיוב חודשי: במסלול חודשי, החיוב יבוצע בתחילת כל חודש. פיגור בתשלום העולה על 14 יום מהווה הפרה של הסכם זה; במקרה כזה תשלח החברה התראה בכתב, ואם לא הוסדר החוב בתוך 7 ימים ממשלוח ההתראה, תהא החברה רשאית להשעות את השירותים בהתאם לסעיף 10 להלן.
- שער המרה (USD → ILS): כאשר המחיר נקוב בדולרים אמריקאיים, החיוב בשקלים יבוצע לפי השער היציג של בנק ישראל ביום החיוב, או לפי שער מינימום של 3.30 ש”ח לדולר — לפי הגבוה מבין השניים. שער המינימום נחשף ללקוח מראש בהסכם זה ומשקף את עלות הרכש של החברה מספקים בחו”ל בדולרים. כאשר השער היציג עולה מעל 3.30 — החיוב יבוצע לפי השער בפועל, ללא תוספת או עיגול נוסף.
- עדכון מחיר: החברה שומרת לעצמה את הזכות לעדכן את מחיר השירות אחת לשלושה חודשים, עקב שינויי שער דולר, שינוי במחירי ספקי צד ג’, או עדכון בעלויות התשתית. עדכון יבוצע בהודעה מוקדמת של 30 יום ללקוח, והלקוח רשאי להפסיק את השירות במהלך תקופה זו אם אינו מסכים למחיר החדש.
- הפרשי הצמדה וריבית פיגורים: סכומים שלא שולמו במועד יישאו ריבית פיגורים בשיעור של פריים+4% לשנה, וזאת מבלי לגרוע מכל סעד אחר העומד לחברה.
- איסור קיזוז: הלקוח אינו רשאי לקזז מסכומים המגיעים לחברה כל סכום, דרישה או טענה, אלא בהסכמת החברה מראש ובכתב.
6. אחריות הלקוח
- הלקוח אחראי באופן בלעדי על: (א) התוכן והנתונים שלו במערכת; (ב) האפליקציות, התוכנות ועדכוניהן שהוא מתקין; (ג) הסיסמאות, הזדהויות וגישת המשתמשים שלו; (ד) שמירה על העתקי גיבוי עצמאיים בנוסף לאמצעי הגיבוי שמספקת החברה; (ה) עמידה בהוראות החוק החל על פעילותו, לרבות חוק הגנת הפרטיות, חוקי קניין רוחני וחוקי המסחר האלקטרוני.
- הלקוח מתחייב שלא לעשות שימוש בשירותים לפעילות בלתי חוקית, פוגענית, להפצת spam, malware, phishing, להפרת זכויות יוצרים, או לכל פעילות העלולה לפגוע בחברה, במשתמשים אחרים או בצדדים שלישיים. הפרת התחייבות זו מהווה הפרה מהותית של ההסכם. ראה גם נספח 7 (AUP).
- הלקוח מתחייב לעדכן את החברה בכתב על כל שינוי בפרטי ההתקשרות (מייל, טלפון, איש קשר, אמצעי תשלום). הודעות ייחשבו כנמסרו אם נשלחו לכתובת המייל שמסר הלקוח בהצעת המחיר.
- שיפוי: הלקוח ישפה את החברה בגין כל דרישה או תביעה של צד שלישי, לרבות הוצאות משפט סבירות, שמקורן בתוכן הלקוח, בשימושו בשירותים או בהפרת הסכם זה על ידו — למעט ככל שמקורן במעשה או במחדל של החברה.
7. אחריות החברה — מוגבלת
- החברה תספק את השירותים במאמצים סבירים, באיכות מקצועית מקובלת בתעשייה.
- הגבלת אחריות: בכל מקרה שבו תוטל על החברה אחריות כלפי הלקוח או מי מטעמו (אם וככל שתוטל), היא תהא מוגבלת לסכום ששילם הלקוח בפועל בגין 12 חודשי השירות שקדמו לאירוע. הלקוח מאשר כי הגבלה זו סבירה לאור אופי השירות והתמורה הנגבית.
- החברה לא תהא אחראית לנזקים עקיפים, תוצאתיים, מקריים, אובדן רווחים, אובדן הזדמנויות עסקיות, אובדן מוניטין, או נזקים שאינם ישירים מכל סוג שהוא.
- על אף האמור בהסכם זה, הגבלות האחריות והפטורים לא יחולו על נזק שנגרם במרמה או בזדון, או על חבות שלא ניתן להגבילה או לשלולה על פי דין.
- אחריות לנתונים — מוגבלת להתחייבויות המפורשות: אחריות החברה ביחס למידע, לנתונים, לתכנים ולקבצים של הלקוח מוגבלת לקיום התחייבויותיה המפורשות לפי הסכם זה ולפי חלק ב’ (DPA). מעבר לכך, האחריות לנתונים, לתוכנם, לחוקיותם ולגיבוים העצמאי מוטלת על הלקוח בלבד, והחברה ממליצה בחום על אחזקת גיבוי עצמאי מחוץ לתשתית החברה.
- אי-אחריות לגיבויים: מנגנוני גיבוי שמספקת החברה ניתנים על בסיס מאמץ סביר (best-effort) ואינם מהווים התחייבות לזמינות, שלמות או יכולת שחזור. החברה אינה אחראית לתקלות בגיבויים, לאי-יכולת שחזור, או למצב בו הלקוח סבור כי קיים גיבוי וזה אינו תקין, חסר או לא עדכני. פירוט נוסף בנספח 1.
- כוח עליון: החברה לא תישא באחריות לעיכוב או אי-ביצוע הנובעים מאירועים שמחוץ לשליטתה הסבירה, ובכלל זה: תקלות אצל ספקי תשתית או חיבוריות, מתקפות סייבר, צווי רשות שלטונית, אירועי טבע, מגיפה, שביתות, או הפרעות אינטרנט גלובליות.
- ביטוח וניהול סיכונים על ידי הלקוח:
- הלקוח מאשר כי החברה היא ספקית תשתית ושירותים, ואינה מבטחת. התמורה עבור השירותים משקפת את עלות אספקתם בלבד, ואינה כוללת פרמיית סיכון בגין נזקי סייבר, אובדן מידע, השבתה עסקית או תביעות צד שלישי כלפי הלקוח.
- החברה ממליצה ללקוח לבחון, בהתאם לאופי פעילותו ולרגישות המידע שהוא מעבד, רכישת ביטוח סייבר וביטוח אובדן תוצאתי מתאימים, ולהתייעץ לשם כך עם יועץ ביטוח מוסמך המתמחה בסיכוני סייבר.
- הלקוח מאשר כי שקל את הסיכונים הכרוכים בפעילותו הדיגיטלית, כי ניתנה לו הזדמנות לגדרם באמצעות ביטוח, וכי הגבלות האחריות בהסכם זה נקבעו בין היתר בהסתמך על כך שניהול סיכוני הלקוח וביטוחם מצויים באחריותו הבלעדית.
- אין באמור כדי להטיל על החברה חובת ייעוץ ביטוחי, והחברה אינה צד לכל פוליסה שירכוש הלקוח.
- שאלוני ביטוח, אבטחה וספקים: מסירת מסמכים ותיאורים כלליים קיימים של החברה — ללא עלות. סיוע במילוי שאלוני אבטחה, ביטוח, ספקים או רגולציה של הלקוח או מי מטעמו, לרבות איסוף נתונים והכנת מענים פרטניים — אינו כלול בשירותים ויחויב לפי תעריף שעת עבודה.
8. אבטחת מידע
- החברה תנקוט באמצעי אבטחת מידע סבירים ומקובלים בתעשייה לצורך הגנה על המערכת ועל הנתונים המאוחסנים בה, ובכלל זה: הצפנת מעבר (TLS), הצפנת אחסון (Encryption at Rest) במערכות ובשירותים בהם היא נתמכת ונדרשת, ניהול גישה מבוקר, חומות אש, ניטור תשתית, ועדכוני אבטחה לשרתי החברה.
- תקיפת הלקוח אינה אירוע של החברה: תקיפה, חדירה, הצפנה כופרית או דליפת מידע במערכת הלקוח (לרבות אתר, אפליקציה, מסד נתונים או חשבון משתמש שניהל הלקוח) אינה אחריות החברה, ואינה מהווה הפרה של הסכם זה מצד החברה, אלא אם הוכח כי הסיבה היחידה היא רשלנות חמורה של החברה בהגנה על תשתית הליבה.
- שירותי תגובה לאירוע אינם כלולים: במקרה של אירוע סייבר אצל הלקוח — החברה תאפשר ללקוח לבצע את כל הפעולות הנדרשות מצידו במערכת. שירותי IR (Incident Response), חקירת חדירה, ניהול אירוע, התראה לרשויות, ניתוח לוגים, או שיחזור פוסט-תקיפה — אינם כלולים בשירות וניתנים, ככל שייסוכמו, במסגרת התקשרות נפרדת ובתשלום נוסף בהתאם לתעריפי החברה.
- פרטים נוספים על עיבוד מידע אישי — חלק ב’ (DPA).
9. חיסיון וקניין רוחני
- כל קניין רוחני הנוגע למערכת, לקוד התוכנה, לממשקים ולתהליכים של החברה — הוא בבעלות החברה. הלקוח מקבל רישיון מוגבל, לא בלעדי וניתן לביטול, לשימוש במערכת לצורך השירותים בלבד, לתקופת ההסכם.
- הנתונים שהלקוח מאחסן במערכת נשארים בבעלותו המלאה של הלקוח. החברה לא תעשה בהם שימוש למטרה אחרת מלבד מתן השירותים, התחזוקה והתמיכה, ולמטרות הקבועות בחוק.
- הצדדים מתחייבים לשמור בסודיות מלאה כל מידע עסקי, טכנולוגי או כלכלי של הצד השני שנחשף להם במהלך ההתקשרות, וזאת לתקופת ההסכם ולחמש שנים לאחר תום ההסכם.
10. השעיית שירות וביטול בגין הפרה
- החברה רשאית להשעות את השירות, באופן מיידי וללא הודעה מוקדמת, במקרים הבאים:
- פעילות מהמערכת הפוגעת בצדדים שלישיים (ספאם יוצא, malware, phishing, scan או מתקפה יוצאת, DDoS יוצא);
- פעילות בלתי חוקית או דרישה משפטית של רשות מוסמכת;
- הפרה מהותית של מדיניות השימוש המקובלת (נספח 7);
- סיכון מיידי לתשתית החברה או ללקוחות אחרים.
- במקרי השעיה כאמור, החברה תודיע ללקוח בהזדמנות הסבירה הראשונה, ובכל מקרה לא יאוחר מ-48 שעות לאחר ההשעיה.
- החברה רשאית להשעות את השירות בהודעה של 7 ימים מראש, במקרי הפרה לא מהותית או אי-תשלום, אלא אם הלקוח הסיר את ההפרה במהלך תקופה זו.
- חידוש שירות לאחר השעיה: חידוש לאחר השעיה ייעשה בכפוף לתשלום דמי הקמה מחדש בתעריף של $200 לשעת עבודה (+ מע”מ), בנוסף לתשלום עבור התקופה שחלפה.
- חיובים ממשיכים בעת השעיה: השעיית השירות אינה מהווה ביטול ההסכם ואינה פוטרת את הלקוח מתשלום עבור המשך תקופת ההתקשרות החוזית, אלא אם בוטל ההסכם רשמית.
11. סיום השירות והעברת נתונים
- בתום ההתקשרות, הלקוח רשאי לבקש העברת נתוניו או הוצאתם מהמערכת. החברה תסייע במאמצים סבירים, בתוך 30 יום, ובכפוף לתעריפי שעת עבודה החלים.
- לאחר 30 יום מתום ההתקשרות, החברה רשאית למחוק את נתוני הלקוח לצמיתות, ללא חובת שמירה נוספת, אלא אם החוק מחייב אחרת או אם הלקוח שילם עבור שירות שמירה מוארך.
- חובות תשלום של הלקוח שטרם הוסדרו אינן פוקעות בתום ההסכם, וניתנות לאכיפה בהתאם לדין.
12. עדכון תנאי ההסכם
- החברה רשאית לעדכן את תנאי הסכם זה מעת לעת בהודעה מוקדמת של 30 יום, אשר תישלח לכתובת המייל הרשומה של הלקוח בהצעת המחיר, ותפורסם באתרי החברה (punchvps.com ו-pcpunch.co.il).
- המשך השימוש בשירותי החברה לאחר מועד התחילה של התנאים המעודכנים יהווה הסכמה לתנאים החדשים.
- אם הלקוח אינו מסכים לתנאים המעודכנים, באפשרותו להפסיק את השירות במהלך תקופת ההודעה לפי סעיף 4.2.
- שינויים שעניינם עדכוני שירות הכרחיים, עמידה בדרישות חוק, או תיקוני אבטחה — עשויים להיכנס לתוקף באופן מיידי.
13. תניית שיפוט וברירת דין
- על הסכם זה יחולו דיני מדינת ישראל, ללא תחולת כללי ברירת הדין הבינלאומיים שלהם.
- הסמכות הבלעדית לדון בכל מחלוקת הנובעת מהסכם זה תהא לבתי המשפט המוסמכים בעיר חיפה, ישראל.
- טרם פנייה לערכאות, הצדדים מתחייבים לנהל הליך משא ומתן בתום לב במשך 30 יום לפחות.
14. שונות
- המחאת זכויות: הלקוח אינו רשאי להמחות את זכויותיו או חובותיו לפי הסכם זה ללא הסכמת החברה בכתב מראש. החברה רשאית להמחות את זכויותיה במסגרת שינוי תאגידי, מיזוג או רכישה.
- ויתור: ויתור צד אחד על זכותו לפי הסכם זה לא ייחשב כויתור על זכויות נוספות או כויתור לעתיד.
- הפרדה: אם סעיף בהסכם זה ייחשב כבטל או בלתי-אכיף — שאר הסעיפים יישארו בתוקף מלא.
- הסכם מלא: הסכם זה (לרבות נספחיו) מהווה את ההסכם המלא בין הצדדים בעניינים הנדונים בו, ומבטל כל הסכם, הבטחה או הצהרה קודמים בעל פה או בכתב.
- הודעות: כל הודעה לפי הסכם זה תישלח לכתובת המייל המופיעה בהצעת המחיר, ותיחשב כנמסרה ביום העסקים העוקב לשליחתה. הודעות לחברה יישלחו אל: [email protected], טלפון: 03-3801180.
- זכויות לפי דין: אין בהסכם זה כדי לגרוע מזכות קוגנטית העומדת ללקוח על פי דין, לרבות לפי חוק הגנת הצרכן, התשמ”א-1981, ככל שהוא חל על ההתקשרות.
חלק ב’ הסכם לעיבוד מידע אישי (DPA)
הסכם זה מהווה את ה-Data Processing Agreement בין הלקוח (להלן: “בקר המידע” / Controller) לבין החברה (להלן: “מעבד המידע” / Processor), בקשר לעיבוד מידע אישי שיתבצע במסגרת השירותים. הסכם זה מתבסס על: חוק הגנת הפרטיות, התשמ”א-1981, תקנות הגנת הפרטיות (אבטחת מידע), תשע”ז-2017, ועקרונות Regulation (EU) 2016/679 (GDPR).
1. הגדרות (DPA)
“בקר מידע” / Controller — הלקוח, הקובע את מטרות העיבוד ואת אמצעי העיבוד.
“מעבד מידע” / Processor — החברה, המעבדת מידע אישי בשם הבקר ובהוראתו.
“מידע אישי” — כל מידע המתייחס לאדם מזוהה או ניתן לזיהוי, כהגדרתו בחוק הגנת הפרטיות וב-GDPR Article 4(1).
“נושא המידע” / Data Subject — האדם שאליו מתייחס המידע האישי (לדוגמה, לקוחות-קצה, עובדים או ספקים של הלקוח).
“אירוע אבטחה” / Personal Data Breach — אירוע אבטחה המוביל לאובדן, גילוי, שינוי או גישה בלתי מורשית למידע אישי, כהגדרתו ב-GDPR Article 4(12).
“קבלן משנה” / Subprocessor — צד שלישי שמעבד מידע אישי בשם החברה.
2. תפקידי הצדדים
- הצדדים מסכימים כי לעניין דיני הגנת הפרטיות, הלקוח הוא בקר המידע והחברה היא מעבד המידע.
- הלקוח אחראי לעמידה בכל חובותיו כבקר מידע, ובכלל זה: בסיס חוקי לעיבוד, מתן הודעות לנושאי המידע, מימוש זכויות נושאי המידע, ועמידה בעקרונות מינימליות, דיוק וצמצום מטרה.
- החברה תעבד מידע אישי בהתאם להוראות הלקוח בלבד, ולמטרת מתן השירותים בלבד, ולא לכל מטרה אחרת — אלא אם נדרשת לעשות זאת על פי דין.
- תפקיד כפול: ביחס למידע שהחברה אוספת לצרכיה שלה — פרטי התקשרות של הלקוח ואנשי קשר מטעמו, נתוני חיוב, יומני מערכות החברה ונתוני שימוש בשירותים — פועלת החברה כבקר מידע עצמאי, והעיבוד כפוף למדיניות הפרטיות של החברה המפורסמת באתריה, ולא להסכם זה.
3. מטרות וסוגי המידע המעובד
- מטרת העיבוד: מתן השירותים ללקוח, אחסון, גיבוי, רישוי, תמיכה ותחזוקה.
- סוגי מידע אישי שעשויים להיות מעובדים: שמות, פרטי קשר, כתובות, מספרי טלפון, כתובות מייל, מזהים טכניים (IP, cookies, סשנים), פרטי תשלום (טוקנים — לא מספרי כרטיס), ותכנים שהלקוח מעלה למערכת.
- קטגוריות נושאי מידע: לקוחות-קצה של הלקוח, עובדים, ספקים ומשתמשים אחרים שהלקוח מטפל בהם.
- קטגוריות מיוחדות של מידע (Special Categories): החברה אינה מבקשת ואינה אוספת ביודעין מידע רגיש (מצב בריאות, השקפות פוליטיות, אמונה, מוצא אתני, מידע ביומטרי). אם הלקוח מאחסן במערכת מידע כזה — האחריות עליו, והוא מאשר כי קיבל הסכמות הנדרשות מנושאי המידע.
4. אזור עיבוד
- עיקר עיבוד המידע מתבצע במחוז ישראל, בחוות שרתים מאובטחות במרכז הארץ.
- חלקים מסוימים של השירות עשויים להתבצע באמצעות ספקי תשתית בינלאומיים (לדוגמה, Cloudflare ל-CDN, Google ל-Workspace, Microsoft ל-365). העברת מידע מחוץ לישראל תיעשה רק למדינות עם רמת הגנה נאותה לפי קביעת רשם מאגרי המידע, או באמצעות מנגנונים מקובלים (Standard Contractual Clauses של האיחוד האירופי).
5. אמצעי אבטחה (Technical & Organizational Measures)
5.1 אמצעי אבטחה מצד החברה (כמעבד מידע)
החברה תיישם, במערכות שתחת ניהולה הישיר ובהיקף השירות שהיא מספקת, אמצעי אבטחה טכניים וארגוניים סבירים בהתאם ל-GDPR Article 32, ובכלל זה:
- הצפנה במעבר — TLS 1.2 ומעלה לכל תעבורה אל ומ-מערכות החברה;
- הצפנת אחסון (Encryption at Rest) — במערכות ובשירותים בהם היא נתמכת ונדרשת לפי אופי השירות;
- בקרת גישה לעובדי החברה — גישה למערכות וללקוחות תינתן רק לעובדי החברה ולקבלני המשנה המורשים שלה, לפי עקרון Least Privilege, באמצעות אימות רב-שלבי, ובכפוף ליומני גישה;
- הפרדת סביבות לקוחות — בידוד לוגי או פיזי בין לקוחות שונים של החברה;
- חומות אש, ניטור ועדכוני אבטחה שוטפים בתשתית הליבה של החברה;
- גיבויי תשתית של מערכות החברה (Image-level) — בהתאם לנספח הרלוונטי;
- הדרכת עובדי החברה ועובדי קבלני המשנה שתחת אחריותה — בתחום אבטחת מידע, הגנת הפרטיות, וזיהוי ניסיונות הנדסה חברתית;
- הסכמי סודיות (NDA) עם עובדי החברה ועם קבלני משנה הנושאים גישה למידע אישי.
אמצעי האבטחה של החברה נסקרים ומתעדכנים באופן שוטף, לפי האיומים והדרישות העדכניות.
5.2 גבולות אחריות החברה — מה לא בשליטתה
אמצעי האבטחה לעיל חלים אך ורק על מרחבי השליטה של החברה. החברה אינה אחראית על אמצעי אבטחה במערכות שאינן בשליטתה הישירה, ובכלל זה: תחנות העבודה של הלקוח, רשת הארגון של הלקוח, אפליקציות שהלקוח מתקין על שרתיו, סיסמאות וזהויות שמנהל הלקוח, או כל מערכת ספק צד ג’ שהלקוח עושה בה שימוש.
5.2.1 התנהלות לקוח כגורם לאירוע סייבר
הלקוח מאשר ומבין כי התנהלות, מחדל, או רשלנות מצדו או מצד עובדיו במערכות שתחת שליטתו עלולים להביא לאירוע סייבר, ובכלל זה: פריצה, הצפנה כופרית (Ransomware), דליפת מידע, השתלטות עוינת על חשבונות, או חדירה לתשתית. דוגמאות לא ממצות לסיטואציות כאלה:
- סיסמאות חלשות, ברירת מחדל או משותפות, ואי-הפעלת אימות רב-שלבי במקום בו הוא זמין;
- שימוש בתחנות עבודה לא מעודכנות, ללא Antivirus / EDR, או נגועות במלוויר;
- פתיחת קבצים מצורפים זדוניים, לחיצה על קישורי דיוג (Phishing), או חשיפת אישורי גישה;
- התקנת תוספים, plugins או קוד צד ג’ לא מאומת על שרתי הלקוח (לרבות WordPress, CMSים אחרים, סקריפטים);
- אי-עדכון תוכנות הלקוח, מסדי נתונים, או רכיבי קוד פתוח עם פגיעויות ידועות (CVEs);
- שיתוף הרשאות root / admin מעבר לנדרש;
- שימוש בספקי צד ג’ בלתי מאובטחים שמחוברים לחשבון הלקוח (API keys, OAuth integrations);
- אי-הקפדה על הפרדה בין סביבת בדיקות לסביבת ייצור.
במצב כזה, החברה אינה יכולה לקחת אחריות על האירוע, על מקורו, על תוצאותיו, או על העלויות שייגרמו לטיפול בו.
5.2.2 הטיפול באירוע — מצריך צוות IR שאינו חלק מהשירות
טיפול באירוע סייבר פעיל אצל הלקוח מצריך צוות תגובה לאירוע (Incident Response — IR) — מקצוע ייעודי הכולל בידוד מערכות נגועות, חקירת מקור החדירה, ניתוח לוגים, איסוף ראיות (Forensics), שיחזור בטוח, וחיזוק עמדת האבטחה לאחר האירוע.
שירותי תגובה לאירוע (IR), ניהול אירוע סייבר, ו-Forensics — אינם חלק משירותי ה-IT, ה-Help Desk, או שירותי הניהול ברמת מערכת הפעלה בכל חבילה של החברה. הם אינם נכללים במסגרת השעות החודשיות, אינם מחויבים בזמני תגובה לפי ה-SLA הסטנדרטי, ואינם ניתנים על ידי הצוות התפעולי השוטף.
שירותי IR ייכללו במסגרת התקשרות נפרדת בלבד, בתשלום נוסף, בכפוף לזמינות צוות ייעודי, ולפי התעריפים הנקובים בנספח 2 לעיל. ראה גם נספח 2 סעיף 4 (יישום מדיניות CISO חיצוני) וסעיף 5 (שירותי אבטחת מידע מתקדמים — זמינים בהתקשרות נפרדת).
הלקוח מאשר במפורש כי הוא מבין שאי-עמידתו בעקרונות אבטחת מידע בסיסיים בתחום שליטתו עלולה לחשוף אותו לעלויות גבוהות של טיפול באירוע, וכי עלויות אלה אינן מכוסות תחת השירותים הכלולים בהסכם זה.
5.3 אחריות הלקוח כבקר המידע
הלקוח, כבקר המידע, אחראי בלעדית על:
- אמצעי אבטחה במערכותיו שלו ובסביבת העבודה של עובדיו (תחנות, רשתות פנימיות, BYOD);
- ניהול משתמשים, סיסמאות, הרשאות וגישה בחשבון הלקוח במערכות החברה;
- הדרכת עובדיו ומשתמשיו לגבי שימוש בטוח בשירותים;
- עמידה בחובותיו לפי חוק הגנת הפרטיות, התשמ”א-1981, תקנותיו, ו-GDPR ככל שחל עליו;
- נקיטת אמצעי אבטחה ברמה ההולמת את רגישות המידע שהוא מאחסן או מעבד באמצעות שירותי החברה.
החברה מציעה ללקוח לעיין בנספח 2 (IT) ובסעיף 5 שם, לתיאור שירותים מתקדמים שזמינים לרכישה בנפרד לטובת חיזוק עמדת אבטחת המידע של הלקוח.
6. הודעה על אירוע אבטחה
6.1 מהו אירוע אבטחה לעניין סעיף זה
“אירוע אבטחה” משמעו אובדן, חשיפה, שינוי או גישה בלתי-מורשית למידע אישי, כהגדרתו ב-GDPR Article 4(12) ובתקנות הגנת הפרטיות (אבטחת מידע), התשע”ז-2017.
6.2 הסעיף חל על השירותים הבאים בלבד
סעיף 6 זה חל על שירותים בהם החברה משמשת כ-Processor ומחזיקה או מעבדת מידע אישי של הלקוח בתשתית שתחת שליטתה. ובכלל זה:
- שרת וירטואלי בחווה (נספח 3);
- אחסון אתרים (נספח 6);
- שירותי IT (נספח 2) — לעניין מערכות שתחת ניהול ישיר ושוטף של החברה.
הסעיף אינו חל על שירותי משווק טהורים, בהם החברה משווקת שירות SaaS של ספק צד ג’ שהוא ה-Processor הישיר:
- Google Workspace (נספח 4) — המידע מאוחסן ומעובד אצל Google LLC;
- Microsoft 365 (נספח 5) — המידע מאוחסן ומעובד אצל Microsoft Corporation;
- גיבוי בענן Acronis (נספח 1) — המידע מאוחסן ומעובד אצל Acronis International GmbH בענן שלה.
בשירותים אלה, אחריות ההודעה על אירוע אבטחה היא של ספק הצד השלישי בהתאם להסכמיו הציבוריים מול לקוחותיו. החברה תעביר ללקוח כל הודעה רלוונטית שתקבל מהספק.
6.3 אירוע ברמת התשתית של החברה (Infrastructure-Level Breach)
אירוע ברמת התשתית של החברה הוא אירוע שמקורו במערכות הליבה של החברה, וההשלכות שלו עשויות להשפיע על מספר לקוחות במקביל או על המערכת ככללותה. בכלל זה: חדירה לסביבת הוירטואליזציה (Hypervisor) של החברה, פריצה למסד הנתונים הניהולי של החברה, חדירה לרשת הניהול הפנימית של חוות השרתים, דליפת מידע מתשתית גיבוי כללית, או פגיעה בערכאות גישה (Root / Domain Admin) של מערכות החברה.
- במקרה של אירוע אבטחה ברמת התשתית של החברה, המשפיע על מידע אישי של הלקוח — החברה תודיע ללקוח בכתב, ללא דיחוי בלתי סביר ולא יאוחר מ-72 שעות מהזמן שנודע לה על האירוע, ותכלול בהודעה: תיאור האירוע, סוגי המידע שנפגעו (ככל הניתן), צעדים שננקטו, וצעדים מומלצים ללקוח.
- החברה תסייע ללקוח, באופן סביר ובמסגרת יכולותיה הטכניות, במידע ובנתונים שיידרשו על ידי הלקוח לצורך מילוי חובותיו לפי הדין.
6.3.1 אירוע ספציפי ללקוח שהתרחש בסביבת התשתית של החברה
קיימת הבחנה מהותית בין אירוע ברמת התשתית של החברה (סעיף 6.3 לעיל), לבין אירוע שהתרחש בסביבה הספציפית של הלקוח על גבי תשתית החברה — מבלי שהתשתית עצמה נפגעה. דוגמאות לא ממצות לאירוע כזה:
- פריצה לחשבון האחסון של הלקוח באמצעות סיסמה חלשה שניהל הלקוח;
- השתלטות על שרת וירטואלי של הלקוח באמצעות Brute Force על שירות שהלקוח חשף (SSH, RDP, Database) בלא הגנה מתאימה;
- חדירה לאתר WordPress / CMS של הלקוח דרך plugin, theme, או גרסה לא מעודכנת;
- Exploit לפגיעות באפליקציה שהלקוח התקין על שרתו;
- דליפת מפתחות API, אישורי OAuth, או טוקנים שאחסן הלקוח באפליקציה שלו;
- הצפנה כופרית (Ransomware) שהגיעה לסביבת הלקוח דרך הרשת או התחנות של הלקוח.
בכל המקרים לעיל, התשתית של החברה לא נפגעה ולא הייתה הגורם לאירוע. האירוע התרחש בסביבת הלקוח עצמה — בחשבון, באפליקציה, בקוד, או בהרשאות שמנהל הלקוח. אירוע כזה אינו אירוע של החברה לפי סעיף זה, וחל עליו סעיף 6.5 להלן.
החברה תספק ללקוח, ככל הניתן, גישה ללוגים, נתוני שרת, וסיוע טכני סביר לצורך הבנת האירוע — והדבר כשלעצמו אינו מהווה הכרה באחריות מצד החברה. שירותי טיפול ממוקדים באירוע (IR, Forensics, ניתוח לוגים מתקדם) — לפי נספח 2.
6.4 חובת הדיווח לרשות הגנת הפרטיות — חלה על הלקוח בלבד
- בהתאם לתקנה 11 לתקנות הגנת הפרטיות (אבטחת מידע), התשע”ז-2017, כפי שתוקנו בתיקון 13 לחוק הגנת הפרטיות, התשפ”ד-2024 — חובת הדיווח על אירוע אבטחה חמור לרשות הגנת הפרטיות (לשעבר: רשם מאגרי המידע) מוטלת על בעל המאגר.
- בעל המאגר ביחס למידע המאוחסן באמצעות החברה הוא הלקוח. הגורם המוסמך לדווח מטעמו הוא נושא המשרה הבכיר בארגון הלקוח (מנכ”ל / בעל החברה / מי שהוסמך לכך בכתב על ידי בעל המאגר).
- קצין אבטחת מידע (CISO), בין אם פנימי, חיצוני, או במסגרת שירות CISO As a Service של החברה — אינו מוסמך לדווח לרשות הגנת הפרטיות מטעם הלקוח. תפקידו של ה-CISO הוא ייעוץ, ניהול הטיפול באירוע מבחינה מקצועית, ותמיכה בבעל המאגר בהכנת הדיווח. ההגשה עצמה לרשות אינה בסמכותו.
- ההודעה לנושאי המידע (Data Subjects), ככל שתידרש לפי הדין, מצויה אף היא באחריות הלקוח כבקר המידע.
6.5 אירוע במערכות הלקוח
אירוע אבטחה הנובע ממערכת הלקוח — לדוגמה: פריצה לאתר WordPress של הלקוח, פגיעה בחשבון אדמין שניהל הלקוח, חדירה מתחנת עבודה בארגון הלקוח, או אובדן זהויות שמנהל הלקוח — אינו אירוע אבטחה של החברה. הטיפול בו, ההודעה לרשות הגנת הפרטיות (ככל שתידרש), וההודעה לנושאי המידע — באחריות הלקוח בלבד.
7. זכויות נושאי המידע
- החברה תסייע ללקוח, באמצעים סבירים, במימוש בקשות של נושאי מידע, ובכלל זה: זכות עיון, זכות תיקון, זכות מחיקה, זכות ניידות, וזכות התנגדות לעיבוד.
- בקשות של נושאי מידע יועברו ראשית לבקר המידע (הלקוח). אם נושא מידע פונה ישירות לחברה — החברה תפנה אותו ללקוח ותודיע לו על הפנייה.
- סיוע מעבר לפנייה והעברה בסיסית עשוי להיות כרוך בתשלום, לפי תעריף שעת העבודה של החברה.
8. קבלני משנה (Subprocessors)
- החברה רשאית להיעזר בקבלני משנה למתן השירותים, ובלבד שתחיל עליהם חובות אבטחה והגנת פרטיות מקבילות לאלה החלות עליה.
- קבלני המשנה העיקריים, לפי קטגוריות: ספקי תשתית ענן ורשת (לרבות Cloudflare ל-CDN ואבטחת DNS), ספק סליקה וטוקניזציה (iCount), ספקי SaaS משווקים (Google LLC לשירותי Workspace, Microsoft Corporation לשירותי M365, Acronis לשירותי גיבוי), ספקי תוכנות פאנל ניהול ושרת, ספקי מערכות הגנת קצה וסינון, וספק חוות השרתים. רשימה שמית עדכנית מתפרסמת בעמוד ייעודי באתרי החברה (punchvps.com ו-pcpunch.co.il) ומהווה חלק בלתי-נפרד מהסכם זה.
- שינוי או הוספה של קבלן משנה יבוצע בהודעה של 30 יום מראש ללקוח, אשר רשאי להתנגד בנימוקים סבירים. אם לא ניתן יישוב, הלקוח רשאי להפסיק את ההתקשרות בהודעה של 30 יום נוספים.
9. שמירה ומחיקה
- תקופות שמירה: נתוני חשבון וחשבוניות — שבע שנים (דרישות דיני המס); יומני מערכות, תשתית וכרטיסי תמיכה — לתקופות המקובלות אצל החברה בהתאם לסוג היומן והמערכת; מזהי חיוב (טוקנים) — מוחזקים אצל ספק הסליקה החיצוני בהתאם לתקן PCI-DSS, כל עוד נמשך החיוב.
- מובהר: יומנים, גיבויים ונתונים במערכות המנוהלות על ידי הלקוח (לרבות בתוך שרת וירטואלי או חשבון אחסון של הלקוח) — הגדרתם, שמירתם ומדיניותם באחריות הלקוח בלבד, והחברה אינה קובעת ואינה אוכפת לגביהם תקופות שמירה.
- בתום תקופות השמירה, או לפי בקשת הלקוח (ובהתאם לחוק), החברה תמחק את המידע באופן סופי או תחזירו ללקוח לפי הוראתו, בכפוף לחובות שמירה נוספות לפי דין. לבקשת הלקוח, תמסור החברה אישור בכתב (לרבות בדוא”ל) על השלמת המחיקה.
10. ביקורות ובדיקות
- לבקשת הלקוח, תמסור החברה תיאור כללי בכתב של עקרונות אבטחת המידע שלה, בהתבסס על מסמכים קיימים של החברה, ללא תשלום. מענה לשאלונים פרטניים או מותאמים, שאלוני שרשרת אספקה, מיפוי מול מסגרות עבודה ותקנים (כדוגמת NIST, ISO, ISACA), או דרישות ביקורת ייעודיות של הלקוח או מי מטעמו — יינתן בהתקשרות נפרדת ובתשלום, בהתאם לסעיף 7.7 לחלק א’.
- ביקורת על אתר החברה (On-site Audit) תתאפשר ללקוחות מוסדיים בכפוף לתיאום מראש, שמירת חיסיון, ובכפוף לתשלום עלויות הביקורת.
11. פניות בענייני מידע אישי
פניות ושאלות בעניין הסכם זה או בענייני מידע אישי יופנו אל מנהל אבטחת המידע של החברה, בכתובת: [email protected].
נספח 1 שירותי גיבוי בענן (Acronis Cyber Backup)
נספח זה מהווה חלק בלתי-נפרד מההסכם ומפרט את תנאי השירות המיוחדים החלים על שירותי הגיבוי בענן הניתנים ללקוח, המבוססים על טכנולוגיית Acronis Cyber Backup.
1. תיאור השירות
- החברה מספקת ללקוח גישה למערכת Acronis Cyber Backup, הכוללת: ממשק ניהול (קונסולה), הקצאת נפח אחסון בענן בהתאם להצעת המחיר, אפשרות התקנת Agents על תחנות ושרתי הלקוח, ויכולת תיזמון משימות גיבוי ושחזור.
- השירות הוא שירות תשתית — החברה מספקת את הפלטפורמה, האחסון והממשק. ביצוע הגיבויים בפועל, בחירת הקבצים, תיזמון, מעקב וטיפול בכשלים — באחריות הלקוח.
- השירות ניתן במודל משווק (Reseller) של פלטפורמת הגיבוי: החברה מקצה ללקוח משאבים תחת חשבון המשווק שלה אצל הספק, ונתוני הגיבוי מאוחסנים בדאטה-סנטר של הספק בישראל, בהתאם לתצורת השירות הנוכחית.
2. מה החברה לא מבצעת — חשוב לקרוא
- החברה אינה מנטרת את הגיבויים: החברה אינה בודקת באופן שוטף האם משימות גיבוי הצליחו, האם ה-Agent מחובר (online), האם הגיבוי האחרון בוצע במועד, או האם נפח האחסון מתקרב לקצה.
- החברה אינה מתריעה על כשלים: כשל בגיבוי (Agent מנותק, משימה שנפלה, אחסון מלא, גיבוי שלא הסתיים) אינו מועבר אוטומטית להתראת החברה. התראות אלה מופיעות בממשק הלקוח, ובאחריותו לעקוב אחריהן.
- החברה אינה מבצעת בדיקות שחזור (Restore Tests): וודאות שהגיבוי ניתן לשחזור בפועל — אינה חלק מהשירות. הלקוח מתבקש לבצע בדיקות שחזור תקופתיות בעצמו.
- הלקוח מקבל גישה לממשק: ללקוח ניתנים שם משתמש וסיסמה לממשק Acronis. באמצעות הממשק יכול הלקוח (או איש ה-IT שלו) לראות את מצב הגיבויים, להתריע, לבצע שינויים ולבדוק תקינות.
3. שחזור (Restore)
3.1 שחזור עצמאי דרך הממשק
הלקוח רשאי לבצע שחזורים באופן עצמאי דרך ממשק Acronis, ללא הגבלת כמות וללא צורך באישור החברה. אין מגבלה על מספר השחזורים, על היקפם, או על מועד ביצועם. החברה ממליצה ללקוח להסמיך את איש ה-IT שלו, או נציג מטעמו, לביצוע פעולות שחזור באופן שוטף.
3.2 סיוע אנושי הכלול בשירות
- הדרכה ראשונית: לאחר הקמת השירות, החברה תספק הדרכה ראשונית חד-פעמית לאיש המחשבים של הלקוח (או נציג מטעמו), בדבר השימוש בממשק וביצוע פעולות שחזור בסיסיות. ההדרכה כלולה בשירות.
- סיוע אנושי עד 3 פעמים בשנה: במידה והלקוח נדרש לסיוע במהלך פעולת שחזור, נציג תמיכה אנושי של החברה יסייע ללקוח עד 3 פעמים בשנה קלנדרית, ללא תשלום נוסף. החברה תתעד את מועדי הסיוע, והמניין נערך לפי שנה קלנדרית.
- מעבר ל-3 פעמים בשנה: בקשת סיוע נוספת תיענה במשלוח מדריך טכני בכתב למייל הלקוח, ללא תשלום.
- הדרכה נוספת או תמיכה מקצועית מצד צוות התמיכה: תינתן בתוספת תשלום, לפי תעריף שעת עבודה החל באותה עת.
3.3 שירות מעקב וניטור גיבויים — אופציונלי, בנפרד
ללקוחות שאין להם איש IT פנימי, או שמעוניינים בליווי שוטף ובמעורבות פעילה של החברה בניטור הגיבויים — ניתן לרכוש מהחברה שירות מעקב וניטור גיבויים כשירות נפרד. השירות כולל: מעקב שוטף אחרי תקינות הגיבויים, התראה במקרה של כשל או אי-תקינות, והתערבות יזומה של נציג אנושי לטיפול ולשחזור לפי הצורך. תעריף השירות ייסוכם בהצעת מחיר נפרדת.
3.4 גבולות אחריות לעניין שחזור
החברה אינה מתחייבת על זמן שחזור, על שלמות הגיבוי, על יכולת שחזור של גרסה ספציפית, או על תוצאת השחזור. גם במסגרת הסיוע האנושי הכלול בסעיף 3.2 — אין הדבר מהווה התחייבות לתוצאה.
4. מחירים ותעריפים
- מחיר השירות מבוסס על נפח אחסון, מספר מכונות מוגנות (Agents), וסוג השירות, כפי שמפורט בהצעת המחיר.
- חריגה מהנפח שהוזמן — תחויב בתעריף שמופיע בהצעת המחיר, או, בהיעדר ציון, בתעריף הסטנדרטי של החברה.
- שער המרה לחיוב — לפי סעיף 5.4 לחלק א’.
5. אחריות הלקוח
- הלקוח אחראי על: התקנת ה-Agents, הגדרת משימות הגיבוי, ניטור שוטף, ביצוע בדיקות שחזור תקופתיות, וודאות שכל נכסיו הקריטיים מכוסים.
- הלקוח אחראי לעדכן את החברה אם הוסיף תחנות חדשות, שינה תצורה מהותית, או מבקש להגדיל את הנפח.
- אובדן נתונים בגלל אי-קיום גיבוי, גיבוי לא תקין, או חוסר בדיקת שחזור — באחריות הלקוח.
6. תקופת שמירה והפסקת שירות
- גיבויים נשמרים בהתאם לתצורה שהוגדרה על ידי הלקוח בממשק (Retention Policy). החברה אינה אחראית אם הלקוח הגדיר תקופת שמירה לא מספקת.
- בעת הפסקת שירות, הגיבויים יישמרו 30 יום ולאחר מכן יימחקו לצמיתות. הלקוח רשאי לבקש הארכת תקופת השמירה (בתשלום).
נספח 2 שירותי IT
נספח זה מפרט את תנאי השירות המיוחדים החלים על שירותי ה-IT הניתנים ללקוח.
1. תיאור השירות
- שירותי IT כוללים: תמיכה טכנית, ביצוע התקנות ושינויי תצורה, ניהול תחנות עבודה וציוד היקפי, ניהול חשבונות משתמשים בסביבות שהוגדרו, וטיפול בקריאות שירות.
- היקף השירות, שעות העבודה החודשיות, ותגובת SLA — לפי הצעת המחיר.
- שעות עבודה החורגות מההיקף החודשי — בתעריף שעת עבודה נוסף לפי הצעת המחיר, או בתעריף סטנדרטי של החברה.
2. רמת אבטחת המידע הכלולה בשירות (Baseline)
שירותי IT כוללים רמת אבטחת מידע בסיסית וטובה, שמתאימה לעסקים קטנים ובינוניים שאינם כפופים לרגולציה מחמירה. רמה זו כוללת, בין היתר:
- חומת אש (Firewall) ברמת הרשת או התחנה;
- הגנת Endpoint בסיסית (Antivirus / EDR): התקנת סוכן הגנה מרישוי הספק, בתצורת ברירת המחדל של היצרן, וטיפול נקודתי בהתראות במסגרת שעות השירות. אין הדבר כולל ניטור רציף של קונסולת ההגנה, חקירת אירועים, כתיבת חוקים מותאמים, בלימה אקטיבית יזומה או ניהול תגובה — שהם שירות מתקדם לפי סעיף 3 להלן;
- עדכוני אבטחה תפעוליים שוטפים למערכת ההפעלה;
- מדיניות סיסמאות סבירה והרשאות בסיסיות;
- גיבוי לפי הסיכום (ראה נספח 1 ככל שרלוונטי);
- הנחיות שימוש סבירות למשתמשי הקצה.
הרמה הבסיסית מתבססת על ארכיטקטורת רשת שטוחה ועל מוצרים סטנדרטיים. היא אינה מהווה אסטרטגיית אבטחת מידע מתקדמת.
3. מה לא כלול בשירות — אסטרטגיית אבטחת מידע מתקדמת
- שירותי תגובה לאירוע (Incident Response, IR): טיפול באירוע סייבר פעיל אצל הלקוח, ניתוח התקפה, מיכלול אירוע, התקנת כלי forensics, או שיחזור פוסט-תקיפה.
- חקירת חדירה פוסט-אירוע (Forensics): חקירה טכנית של ראיות, ניתוח לוגים מתקדם, תיעוד ראייתי לצרכי משפט או רגולציה.
- תפקיד CISO: ייעוץ אסטרטגי באבטחת מידע, ניהול מערך אבטחה, בניית תוכניות הגנה, ביצוע הערכות סיכון, או חתימה על מסמכים בתפקיד קצין אבטחת מידע.
- ניהול אירוע סייבר: תפקוד כצוות SOC או IR Team של הלקוח בעת אירוע.
- התראה והכוונה לרשויות: הגשת דיווח לרשם מאגרי מידע, התקשרות עם רגולטור, או ייצוג מול גורמים חיצוניים.
- מבדקי חדירה (Penetration Testing / Pen Test): סימולציית תקיפה מבוקרת על מערכות הלקוח, ניצול פגיעויות (Exploitation), בדיקות Red Team / Purple Team, או דוחות מבדק חדירה.
- בדיקות פגיעות (Vulnerability Assessment / VA): סריקות פגיעות מובנות, ניתוח ממצאי סריקה, ודירוג CVSS.
- דוחות פערים (Gap Analysis): סקירה ודוח השוואת מצב קיים מול תקן או מדיניות יעד (לרבות ISO 27001, ISO 27017, SOC 2, ת”י 27001, GDPR, תקנות הגנת הפרטיות, NIST CSF, CIS Controls).
- ביקורת אבטחת מידע (Security Audit): ביקורת תקופתית, סקירת בקרות, ראיונות עם נושאי תפקיד וכתיבת דוח ביקורת.
- ביקורות עמידה ברגולציה (Compliance Audit): סקירה לצורך עמידה בתקנים, לרבות הכנה להתעדה (Certification), ליווי רואה חשבון או רגולטור.
- ניהול פגיעויות וסגירת CVE (Vulnerability Management): יישום פלטפורמת ניהול פגיעויות ארגונית, זיהוי שוטף של CVEs, תיקון מתואם, והפעלת תהליך Patch Management מקצועי על פני הארגון.
- SIEM (Security Information & Event Management): תכנון, רישוי, התקנה, התאמה והפעלת פלטפורמת איסוף וקורלציה של אירועי אבטחה ולוגים.
- שירותי SOC (Security Operations Center): ניטור 24/7 של אירועי אבטחה, ניתוח התראות, חקירת אירועים פעילים, תיעוד ושיתוף מודיעין. מובהר: שירותי SOC הם שירות נפרד לחלוטין ואינם כלולים באף חבילת IT או ניהול.
- שירותי NOC (Network Operations Center): ניטור תשתית ורשת רציף 24/7 באמצעות מרכז תפעול ייעודי, לרבות תגובה יזומה להתראות תשתית. מובהר: שירותי NOC הם שירות נפרד לחלוטין ואינם כלולים באף חבילת IT או ניהול.
- תגובת EDR מתקדמת (Advanced EDR Detection & Response): הפעלה מקצועית של פלטפורמת EDR ארגונית, ניתוח התראות, חקירת אינדיקטורים, ובלימה אקטיבית.
- סגמנטציה והפרדה לוגית של רשת (Network Segmentation / Micro-segmentation): תכנון ויישום ארכיטקטורת רשת מבוססת הפרדות לוגיות, רשימות בקרה, חומות אש פנימיות, ועקרון Least Privilege.
- Zero Trust Network Access (ZTNA): תכנון ויישום ארכיטקטורת Zero Trust, גישת משתמש לפי זהות והקשר, החלפת VPN רוחבי בגישה מבוססת אפליקציה.
- Endpoint Hardening מתקדם: יישום Baselines של ארגון לפי תקנים מקובלים, כיבוי שירותים שאינם נחוצים, הצפנת דיסק מלא (Full Disk Encryption), ו-Application Whitelisting.
- Threat Hunting ו-Threat Intelligence: חיפוש פעיל של איומים שטרם זוהו על ידי כלים אוטומטיים, איסוף מודיעין סייבר ושימוש בו לזיהוי מוקדם.
- ייעוץ אסטרטגי באבטחת מידע: ליווי ארגוני בבניית תוכנית אבטחה רב-שנתית, מפת דרכים, בחירת ספקים, ניהול תקציב אבטחה, וייעוץ דירקטוריוני.
- פיתוח תוכנה / קוד מותאם: כתיבת קוד, תכנות, פיתוח אפליקציות, או התערבות ברמת הקוד של מערכות הלקוח.
היותו של נושא משרה בחברה בעל הסמכה
אם וככל שנושא משרה בחברה הינו בעל הסמכת CISO מקצועית או הסמכה אחרת בתחום אבטחת המידע — אין בכך לכלול את שירותיו בתפקיד זה במסגרת ההסכם. שירותים אלה ניתנים בהתקשרות נפרדת בלבד, ועלותם נקבעת בנפרד.
4. יישום מדיניות של CISO חיצוני בארגון הלקוח
פעולות אלה הן אינן חלק משירותי ה-IT, ה-Help Desk, או שירותי הניהול במסגרת הסכם זה, גם אם החברה ממשיכה לתפקד כספק ה-IT השוטף של הלקוח. הן יבוצעו אך ורק בהתקשרות נפרדת או על בסיס שעות עבודה נוספות בתשלום, ובלבד שאושרו מראש על ידי הלקוח. בכלל זה, ומבלי לגרוע:
- יישום בקרות אבטחה (Security Controls) שהוגדרו על ידי ה-CISO החיצוני;
- הקשחה (Hardening) של מערכות, תחנות או שרתים לפי baseline שנקבע;
- שינויי תצורה (Configuration Changes) ברשת, ב-Endpoints, באישורים או בהרשאות לפי הוראות ה-CISO;
- תיעוד פעולות, שמירת ראיות, וכתיבת מסמכי בקרה לצורך תהליכי ביקורת או הסמכה (ISO, SOC, ת”י);
- מענה לדרישות תיעוד או ראיונות במסגרת Audit, Pen Test, או Gap Analysis שיוזם ה-CISO החיצוני;
- יישום ממצאי דוח מבדק חדירה / סקר / ביקורת — לרבות סגירת פגיעויות מזוהות, יישום בקרות גישה, שינוי ארכיטקטורה;
- מענה לדרישות DPA, GDPR, תקנות הגנת הפרטיות, או בקשות זכויות נושאי מידע;
- השתתפות בישיבות מקצועיות, ועדות היגוי, תרגולים (Tabletop, DR Drill) או תרחישי IR שיוזם ה-CISO;
- הקצאת אנשי צוות מטעם החברה לפרויקטים שמובלים על ידי ה-CISO החיצוני.
פעולות אלה מצריכות שעות עבודה משמעותיות, ידע מקצועי ייעודי, ופעמים רבות גם הקצאת כוח אדם מסור. החברה תספק הצעה ייעודית לעבודה כאמור, ותבצע אותה רק לאחר אישור בכתב מהלקוח.
5. שירותי אבטחת מידע מתקדמים — זמינים בהתקשרות נפרדת
כל השירותים שצוינו כ”לא כלולים” בסעיפים 3 לעיל — זמינים לרכישה מהחברה במסגרת התקשרות ייעודית ונפרדת, ובכלל זה:
- מינוי CISO לארגון — לרבות מילוי תפקיד קצין אבטחת מידע ממונה, רישום ועדכון ברשות הגנת הסייבר כשנדרש, אחריות מקצועית על מדיניות האבטחה, וייצוג מול גורמים פנימיים וחיצוניים.
- שירותי SOC, SIEM, ניהול פגיעויות (CVE) ותגובה לאירועים (IR) — בהתאם להיקף וזמינות כפי שייסוכמו.
- מבדקי חדירה, סקרים, Gap Analysis וביקורות עמידה ברגולציה.
- תכנון ויישום ארכיטקטורות אבטחה מתקדמות — סגמנטציה, ZTNA, Endpoint Hardening, Threat Hunting.
- ייעוץ אסטרטגי באבטחת מידע — מפת דרכים רב-שנתית, בחירת ספקים, תקצוב, וייעוץ הנהלה ודירקטוריון.
מבנה תמחור
- עלות הקמה (Setup): חד-פעמית, משתנה לפי היקף השירות, המערכות שיש להטמיע (כגון פלטפורמת ניהול פגיעויות, SIEM, EDR), ומורכבות הסביבה הקיימת.
- עלות שוטפת חודשית (Retainer): נפרדת מכל תשלום שוטף אחר ללקוח, ומשקפת את היקף הניטור, התגובה והייעוץ המוסכמים.
- תעריף שעת עבודה דחופה (אירוע פעיל / IR): כפי שייסוכם, עם מינימום חיוב לחבילת אירוע.
- ההיקף, התעריפים והתנאים הספציפיים — נחתמים בהסכם ייעודי נפרד הכפוף לחלק א’ של הסכם זה (MSA), אך אינו חלק מהשירותים הכלולים בכל חבילה אחרת.
6. תעריף שעת עבודה בהיקף נוסף
- שעת עבודה רגילה החורגת מההיקף החודשי — לפי תעריף שמופיע בהצעת המחיר.
- שירותי IR / אירוע פעיל: תעריף של $250 + מע”מ לשעת עבודה, לכל איש צוות שתקצה החברה לאירוע ובהתאם להיקף הצוות שיידרש, אלא אם נקבע אחרת בהסכמה נפרדת. מינימום חיוב לחבילת אירוע — 8 שעות.
- זמן עבודה נמדד ביחידות של 15 דקות; יחידה שהחלה נמנית במלואה.
7. שעות מוקד ו-SLA
- שעות פעילות מוקד שירות לקריאות שוטפות: ימים א’-ה’, 08:00-18:00.
- קריאות דחופות / מערכת משביתה מחוץ לשעות הפעילות — יטופלו במאמץ סביר, בערוצי הקשר שנמסרו ללקוח.
- תחילת טיפול בקריאה רגילה — עד 8 שעות עבודה ממועד פתיחתה. תחילת טיפול בקריאה דחופה — עד 2 שעות, במידת האפשר.
- החברה אינה מתחייבת לסיים את הטיפול במסגרת זמן מסוימת — תחילת טיפול בלבד.
8. שונות
- הלקוח מתחייב לספק לחברה את כל המידע הנדרש לטיפול בקריאה, ובכלל זה גישות מערכת, סיסמאות, ופרטי צד ג’ אם נדרשים.
- החברה אינה אחראית לכשלים הנובעים מאי-מתן מידע מספק מצד הלקוח.
נספח 3 שרת וירטואלי בחווה (VPS)
נספח זה מפרט את תנאי השירות החלים על שירותי שרת וירטואלי (VPS) המוקצים ללקוח בחוות שרתים של החברה בישראל, בכל מערכת הפעלה (לרבות Linux ו-Windows) כפי שסוכמה בהצעת המחיר.
1. מפרט והקצאה
- הקצאת המשאבים (CPU, RAM, אחסון, כתובות IP, רוחב פס, תעבורה) — לפי הצעת המחיר.
- השרת מוקם בחוות שרתים מאובטחת בישראל, ובכפוף לזמינות.
- ההקמה הראשונית, התקנת מערכת ההפעלה הסטנדרטית וההדרכה הראשונית — כלולים.
2. SLA — זמינות שירות
- זמינות שירות (Uptime): החברה מתחייבת לזמינות של 99.72% (תשעים ותשע נקודה שבעים ושתיים אחוז) בשנה לתשתית הליבה. תחזוקה מתוכננת תיעשה במועדים מתואמים מראש ולא תיחשב כ-downtime.
- תרופה בלעדית בגין אי-זמינות: בגין אי-עמידה ביעד הזמינות יהא הלקוח זכאי, לבקשתו בכתב בתוך 30 יום מהאירוע, להחזר או זיכוי יחסי של דמי השירות החודשיים בגין תקופת אי-הזמינות בפועל, ובכל מקרה לא יותר מדמי חודש שירות אחד במצטבר בשנה. זיכוי כאמור הוא התרופה היחידה והבלעדית בגין אי-זמינות, בכפוף לחריגים הקבועים בסעיף 7 לחלק א’.
- שעות מוקד שוטף: א’-ה’, 08:00-20:00.
- קריאות דחופות / משביתות: מחוץ לשעות הפעילות — יטופלו במאמץ סביר, בערוצי הקשר שנמסרו ללקוח.
- תחילת טיפול: עד 4 שעות עבודה לקריאה רגילה, עד 1 שעה לקריאה דחופה (במידת האפשר).
3. ניהול וניהול תוכן
- שעות ניהול: השירות כולל שעות עבודה חודשיות לניהול ברמת מערכת הפעלה בהיקף הנקוב בהצעת המחיר; בהיעדר ציון — עד 10 שעות חודשיות. כל שעת עבודה נוספת תחויב בתעריף של $150 + מע”מ.
- שירות הניהול הוא שירות סיסטם (System Administration) ברמת מערכת ההפעלה בלבד, וכולל: עדכוני מערכת הפעלה, התקנת חבילות סטנדרטיות, ניטור משאבים בסיסי, וטיפול בקריאות תמיכה.
- שירות הניהול אינו כולל: פיתוח, התקנת אפליקציות מיוחדות שדורשות פיתוח, ניהול CMS (WordPress / Drupal / Magento וכדומה), ניהול מאגרי מידע כ-DBA, תפקידי CISO וייעוץ אבטחת מידע, שירותי IR וניהול אירוע סייבר, תכנון או תפעול של תוכנית התאוששות מאסון (DRP) או תוכנית המשכיות עסקית (BCP), מבדקי חדירה (Penetration Testing), בדיקות פגיעות (Vulnerability Assessment), דוחות פערים (Gap Analysis), ביקורת אבטחה (Security Audit), או ביקורת עמידה ברגולציה (ISO 27001 / SOC 2 / ת”י 27001 וכדומה). שירותים אלה ניתנים בהתקשרות נפרדת ובתשלום נוסף (ראה נספח 2).
- מדיניות שימוש: מדיניות השימוש המקובלת (נספח 7) חלה במלואה על השרת הווירטואלי, על כל שימוש הנעשה בו ועל כל תוכן המאוחסן בו — לרבות איסור תוכן בלתי חוקי או פוגעני, הימורים שלא כדין, דיוור אסור, ותקיפות או סריקות יוצאות. האחריות לכל שימוש הנעשה בשרת מוטלת על הלקוח בלבד, והפרת המדיניות מקנה לחברה זכות השעיה לפי סעיף 10 לחלק א’.
4. תעבורה (Bandwidth)
- תעבורה חודשית כלולה — לפי הצעת המחיר (לדוגמה: 5TB).
- חריגה מהתעבורה הכלולה — תחויב ב-$0.01 + מע”מ עבור כל 1GB נוסף.
5. הגנה ו-DDoS
- התשתית כוללת הגנת DDoS ברמת הרשת, הניתנת באמצעות ספק תשתית ייעודי.
- מתקפות נפח גדול (≥ 1 Gbps / ≥ 100k pps): החברה רשאית לבצע Null-route זמני לכתובת ה-IP של הלקוח, על מנת להגן על שאר התשתית. ה-IP יוחזר לפעולה לאחר שהמתקפה הסתיימה.
- לקוח הזקוק ליכולות הגנה מורחבות מעבר לכך — החברה תסייע בבחינת פתרון מתאים מול ספקי צד שלישי, בתמחור נפרד.
6. מערכת הפעלה ועדכונים
- החברה מספקת מערכת הפעלה תומכת (Vendor-supported) במצב המקובל בתעשייה.
- כאשר מערכת ההפעלה מגיעה לסוף חיי תמיכה (End of Life), החברה תודיע ללקוח 60 יום מראש ותציע מסלול שדרוג.
- המשך שימוש במערכת הפעלה לא נתמכת לאחר 60 יום הוא באחריות הלקוח בלבד, והחברה אינה אחראית לפרצות אבטחה שמקורן בכך.
- שדרוג מערכת הפעלה — בתשלום לפי שעות עבודה, או במסגרת שעות הניהול החודשיות אם הלקוח בוחר זאת.
7. גיבוי תשתית
- ככל שהוזמן שירות גיבוי תשתית בהצעת המחיר — גיבוי תשתית (Image-level) ברמת המכונה הווירטואלית מתבצע באופן יומי, על בסיס מאמץ סביר. בהיעדר הזמנת שירות גיבוי — לא מתבצע גיבוי תשתית לשרת, והאחריות המלאה לגיבוי הנתונים מוטלת על הלקוח. גיבויי תשתית אינם תחליף לגיבוי אפליקציה או נתונים פנימיים.
- גיבויים נשמרים עד 14 ימים אחורה ונמחקים אוטומטית.
- שחזור — לבקשת הלקוח ובתשלום (מינימום 2 שעות עבודה). זמן יעד — עד 8 שעות עבודה. החברה אינה מתחייבת על שלמות הגיבוי או על הצלחת השחזור.
- הלקוח מתבקש להחזיק גיבוי עצמאי נוסף לנתונים החשובים לו.
8. ביטול שירות והקמה מחדש
- ביטול שירות בידי הלקוח — בהודעה של 30 יום מראש בכתב, לפי סעיף 4 לחלק א’.
- סגירת השירות עקב אי-תשלום או הפרה — לפי סעיף 10 לחלק א’.
- הקמה מחודשת לאחר השעיה — בתשלום של $200 לשעת עבודה (+ מע”מ), בנוסף לתשלום עבור התקופה שחלפה.
נספח 4 Google Workspace
נספח זה מפרט את תנאי השירות החלים על שירות Google Workspace (לשעבר G Suite) הניתן ללקוח באמצעות החברה כמשווק מורשה.
1. תיאור השירות
- השירות הניתן הוא Google Workspace — חבילת שירותי ענן של Google הכוללת דוא”ל מותאם לדומיין, Drive, Docs, Sheets, Slides, Meet, Calendar וכלים נוספים בהתאם לתוכנית הנבחרת.
- השירות הוא SaaS ומסופק על ידי Google LLC. החברה פועלת כמשווק מורשה ומעניקה תמיכה והטמעה.
- תנאי השימוש של Google (Google Workspace Terms of Service) חלים על הלקוח במישרין ביחסיו עם Google.
2. רישום דומיין (כאשר רלוונטי)
- רישום הדומיין נעשה לתקופה שבחר הלקוח בהצעת המחיר (שנה ומעלה), בחיוב חד-פעמי.
- הדומיין יירשם על שם הלקוח (כ-Registrant) והוא בבעלותו לכל דבר ועניין.
- סופיות הרישום: רישום דומיין נכנס לתוקף באופן מיידי וסופי במרשם הדומיינים הרלוונטי. בהתאם למדיניות מרשם הדומיינים הישראלי (איגוד האינטרנט הישראלי) והמרשמים הבינלאומיים (ICANN), רישום שהושלם אינו ניתן לביטול, ודמי הרישום נגבים על ידי המרשם בכל מקרה. לפיכך לא ניתן לבטל רישום שבוצע ולא יינתן בגינו החזר כספי, והלקוח מתבקש לוודא את איות שם הדומיין ואת נכונות פרטי ההזמנה בטרם אישורה.
- חידוש אוטומטי: בתום התקופה, הדומיין יחודש אוטומטית באמצעות אמצעי התשלום הזמין במערכת, על מנת למנוע אובדן. ככלל, תישלח תזכורת לכתובת המייל הרשומה של הלקוח לפני מועד החידוש; אי-משלוח תזכורת אינו גורע מתוקף החידוש או מחובת התשלום.
- שירות תחזוקת הדומיין כולל: (א) ניהול DNS מתקדם (A, AAAA, MX, TXT, SPF, DKIM, DMARC, SRV, CAA, CNAME); (ב) חידוש אוטומטי בתום התקופה; (ג) ניהול הדומיין תחת חשבון Cloudflare של החברה הכולל CDN, הגנת DDoS, חוקי WAF בסיסיים ו-SSL חינמי. החשבון נשאר בבעלות החברה ומנוהל על-ידה.
- העברה לרשם אחר: באחריות הלקוח. לבקשתו, החברה תפיק קוד העברה (Authorization Code / EPP) ותשלח אותו במייל לאיש הקשר הרשום. השלמת ההעברה אצל הרשם המקבל וניהול ה-DNS לאחריה — באחריות הלקוח.
3. מה החברה לא מבצעת
- החברה אינה אחראית לזמינות, תפקוד או מדיניות של Google. כל תקלה במערכת Google היא באחריות Google.
- החברה אינה מנהלת את חשבון Google Workspace השוטף של הלקוח (משתמשים, סיסמאות, הרשאות) אלא אם נסוכם במפורש בתוספת תשלום.
- החברה אינה מספקת שירותי IR, CISO או ניהול אירוע סייבר בחשבון Workspace של הלקוח (ראה נספח 2).
4. הגבלת אחריות מיוחדת
אחריות החברה ביחס לשירותי Workspace מוגבלת לשירותי המשווק עצמם — ייעוץ, הקמה, תמיכה. אחריות לתפקוד התשתית של Google ולמדיניות הפרטיות שלה מוטלת על Google בהתאם להסכמיה הציבוריים.
5. מחיר, חיוב והעברה
- חיוב חודשי או שנתי לפי הצעת המחיר.
- שער המרה — לפי סעיף 5.4 לחלק א’ (USD/ILS עם floor 3.30).
- העברה למשווק אחר או ל-Google ישיר: אם הלקוח מעביר את החשבון לניהול משווק אחר או לחיוב ישיר מול Google ללא הסכמת החברה ולפני תום תקופת ההתחייבות — ההסכם נחשב מסתיים ביוזמת הלקוח, והלקוח יחויב על מלוא יתרת התקופה החוזית וכן בדמי ההקמה המלאים, גם אם ההקמה ניתנה תחילה ללא עלות.
נספח 5 Microsoft 365
נספח זה מפרט את תנאי השירות החלים על שירות Microsoft 365 הניתן ללקוח באמצעות החברה כמשווק.
1. תיאור השירות
- השירות הניתן הוא Microsoft 365 — חבילת שירותי ענן של Microsoft הכוללת Exchange Online, OneDrive, Teams, SharePoint, ויישומי Office בהתאם לתוכנית הנבחרת.
- השירות מסופק על ידי Microsoft Corporation. החברה פועלת כמשווק.
- תנאי השימוש של Microsoft (Microsoft Customer Agreement) חלים על הלקוח במישרין ביחסיו עם Microsoft.
2. מה כלול ומה לא כלול
- כלול: רכישת רישיונות, הקמה ראשונית, הדרכה ראשונית, תמיכה במייל ובטלפון בהתאם לחבילה.
- לא כלול: ניהול Intune מתקדם, ניהול Active Directory היברידי, פיתוח Power Platform, תכנון Endpoint Manager, או שירותי SOC. שירותים אלה ניתנים בנפרד.
3. הגבלת אחריות
אחריות החברה מוגבלת לשירותי המשווק. אחריות התשתית והמדיניות של Microsoft — מוטלת על Microsoft.
4. מחיר וחיוב
- חיוב חודשי או שנתי לפי הצעת המחיר.
- שער המרה — לפי סעיף 5.4 לחלק א’ (USD/ILS עם floor 3.30).
- תקופת התחייבות: רישיונות Microsoft מסוימים (Annual) דורשים התחייבות לשנה. ביטול לפני תום התקופה — חיוב על יתרת התקופה.
- העברה למשווק אחר: בכפוף לתנאי Microsoft. עזיבה לפני תום ההתחייבות — חיוב יתרת התקופה ודמי הקמה.
נספח 6 אחסון אתרים
נספח זה מפרט את תנאי השירות החלים על שירות אחסון אתרים על גבי תשתית האחסון של החברה, עם או בלי פאנל ניהול, בהתאם למפורט בהצעת המחיר.
1. תיאור השירות
- השירות כולל, בהתאם לחבילה שבהצעת המחיר: נפח אחסון מוקצה, חשבונות FTP, הפניות דוא”ל, תעבורה חודשית, גישה לפאנל ניהול (ככל שנכלל בחבילה), חבילת אבטחה תשתיתית (חומת אש לאפליקציה, סריקה ומניעת תוכנה זדונית, הגנה רב-שכבתית), תעודת SSL חינמית, גיבוי יומי תשתיתי, וכלי ניהול CMS ייעודי.
- השירות מוגדר כחבילה מבוססת משאבים שיתופיים. השרת השיתופי מיועד בעיקר לאתרי תדמית, דפי נחיתה, ואתרים בנפח תנועה סביר.
2. SLA — זמינות שירות
- זמינות שירות: 99.72% Uptime בשנה לתשתית. תחזוקה מתוזמנת לא נחשבת כ-downtime. תרופה בגין אי-זמינות — כאמור בנספח 3 סעיף 2, בשינויים המחויבים.
- שעות מוקד שוטף: א’-ה’, 08:00-20:00.
- תחילת טיפול: עד 4 שעות לקריאה רגילה, עד 1 שעה לקריאה דחופה.
3. גבולות השירות
- אין שירותי פיתוח / תכנות: השירות הוא תשתית בלבד. החברה אינה מתערבת ברמת הקוד או התוכן באתר הלקוח.
- ניהול WordPress / CMS: עדכון WordPress, plugins, themes וכל ניהול ברמת ה-CMS הוא באחריות הלקוח. החברה מספקת כלי ניהול CMS ייעודי כתשתית בלבד.
- שימוש חריג במשאבים משותפים (Noisy Neighbor): במידה ואתר אחד משפיע לרעה על ביצועי השרת השיתופי, החברה רשאית להגביל את הקצאת המשאבים שלו או להעבירו לשרת אחר, לשם שמירה על יציבות השירות לכלל הלקוחות. ככל הניתן ייעשה הדבר בתיאום מראש; במקרים דחופים — ללא הודעה מוקדמת, ובעדכון הלקוח בהזדמנות הסבירה הראשונה.
- אבטחת מידע — תיחום השירות: השרת כולל חבילת אבטחה תשתיתית רב-שכבתית (חומת אש לאפליקציה, סריקת קוד זדוני, ומנגנוני מניעה בסיסיים). זוהי אבטחה ברמת התשתית בלבד — היא חוסמת חלק ניכר מהאיומים הנפוצים, אך אינה מהווה שירות מקצועי של אבטחת מידע, ואינה מחליפה אסטרטגיית הגנה ארגונית. אינם כלולים, ויינתנו בהתקשרות נפרדת בלבד: שירותי IR, CISO, מבדקי חדירה, בדיקות פגיעות, דוחות פערים, ביקורת אבטחה וביקורת עמידה ברגולציה, ניהול פגיעויות וסגירת CVE, פלטפורמת איסוף וקורלציה של אירועים, שירותי ניטור 24/7, תגובת אבטחה מתקדמת, סגמנטציה לוגית, ארכיטקטורת Zero Trust, ציד איומים, וייעוץ אסטרטגי באבטחת מידע (פירוט מלא בנספח 2).
- מנגנוני הגנה אוטומטיים: חבילת האבטחה התשתיתית מבוססת על מנגנונים סטנדרטיים בתעשייה (כדוגמת חומת אש לאפליקציה וסריקת קוד זדוני), אשר עשויים, כחלק מפעולתם האוטומטית, לחסום בקשות או לבודד ולנטרל קבצים ורכיבי קוד המזוהים כזדוניים. אין בכך משום התחייבות של החברה לזהות, לחסום או להסיר קוד זדוני, ופעולה אוטומטית כאמור על קוד שזוהה כזדוני לא תקים לחברה אחריות לנזק שנגרם בעטיה. האחריות לתקינות הקוד באתרי הלקוח ולניקיונו מוטלת על הלקוח בלבד.
4. גיבוי
- גיבוי יומי תשתיתי על ידי החברה — best-effort, 14 ימים אחורה, אינו תחליף לגיבוי אפליקציה.
- שחזור — בתשלום נוסף, מינימום שעת עבודה. החברה אינה מתחייבת על שלמות הגיבוי.
- הלקוח מתבקש להחזיק גיבוי עצמאי נוסף.
5. תעבורה ונפח
- תעבורה חודשית כלולה — לפי הצעת המחיר (לדוגמה: 5TB).
- חריגה — $0.01 + מע”מ לכל 1GB נוסף.
- חריגת נפח אחסון — תחויב לפי תעריף.
6. הסרה ושינוי תוכן
- החברה רשאית להסיר תוכן בלתי חוקי, פוגעני, או מפר זכויות יוצרים — לאחר התראה סבירה, או באופן מיידי במקרים חמורים.
- במקרים של דרישה משפטית של רשות מוסמכת — החברה רשאית להסיר תוכן ללא התראה ולא תהיה אחראית לנזק שייגרם ללקוח כתוצאה מכך.
7. מחיר וחיוב
- מחיר חודשי או שנתי לפי הצעת המחיר.
- שער המרה — לפי סעיף 5.4 לחלק א’ (USD/ILS עם floor 3.30).
נספח 7 מדיניות שימוש מקובלת (AUP)
מדיניות זו חלה על כל לקוחות החברה ועל כל המשתמשים מטעמם. הפרת מדיניות זו מהווה הפרה מהותית של ההסכם ומקנה לחברה זכות להשעיה מיידית של השירות.
1. שימושים אסורים
- פעילות בלתי חוקית: כל פעילות המנוגדת לחוקי מדינת ישראל או למשפט הבינלאומי.
- הפרת זכויות יוצרים וקניין רוחני: אחסון, הפצה או שיתוף של תוכן מוגן ללא רישיון.
- תוכן פוגעני: תכנים פדופיליים, אלימים, מעודדי טרור, גזעניים, או מפרים כל הוראת חוק.
- הונאה והטעיה: אתרי phishing, scam, הונאות פיננסיות, מצגי שווא.
- תוכנות זדוניות: אחסון, הפצה או שליטה ב-malware, viruses, ransomware, trojan, botnet, exploit-kits.
- spam ו-Unsolicited Email: שליחת מיילים בכמות גדולה ללא הסכמה, רשימות תפוצה שלא נרכשו כדין, או כל פעילות שיווקית אגרסיבית.
- סריקות והתקפות יוצאות: port scanning, vulnerability scanning של מערכות שאינן בבעלות הלקוח, ניסיונות חדירה, brute-force, או DDoS יוצא.
- הונאת זהות: התחזות לאדם אחר, חברה, או רשות.
- הימורים בלתי חוקיים: אתרי הימורים שלא לפי החוק החל באזור הפעילות.
- שימוש בלתי הוגן במשאבים: צריכת CPU / RAM / I/O מופרזת על שרת שיתופי, או הפעלת תהליכי רקע ארוכים.
- כריית מטבעות קריפטוגרפיים: על גבי משאבי החברה, בשרת שיתופי או ייעודי, ללא אישור מראש ובכתב.
- שירותי ביניים פתוחים: הפעלת proxy פתוח, שירות VPN ציבורי, או צומת יציאה של רשת TOR מתוך התשתית.
- חריגה ממכסות דיוור: שליחת דואר אלקטרוני בהיקף החורג מהמכסה שנקבעה לשרת או לחשבון, גם אם הדיוור עצמו נעשה כדין.
- הפרת צווים שיפוטיים: אחסון או הפצה של חומר החוסה תחת צו איסור פרסום, או כל תוכן המפר צו שיפוטי.
- מערכות ובוטים זדוניים, לרבות מבוססי בינה מלאכותית: הקמה או הפעלה של בוטים ומערכות אוטומטיות למטרות זדוניות, לרבות מערכות מבוססות AI, וכן אחסון או הפעלה של סקריפטים וכלי תקיפה (לרבות Reverse Shell, תשתיות שליטה ובקרה C2, וכלי ניצול פגיעויות) — שלא במסגרת בדיקת אבטחה מורשית, מתואמת ומתועדת מראש.
2. אכיפה
- החברה רשאית, בשיקול דעתה הבלעדי, להחליט שפעילות מסוימת מהווה הפרת מדיניות זו.
- השעיה מיידית ללא התראה: במקרים של פעילות פוגענית מיידית — child abuse, פעילות טרור, DDoS יוצא, הפצת malware, או דרישה משפטית — החברה תשעה את השירות לאלתר.
- השעיה בהודעה מוקדמת: במקרים אחרים, החברה תתריע בכתב ותעניק 48 שעות לתיקון לפני השעיה.
- שיתוף פעולה עם רשויות אכיפת חוק — החברה תשתף פעולה עם דרישות חוקיות של רשויות מוסמכות בישראל ובחו”ל.
3. אחריות והשבת נזקים
- הלקוח אחראי לכל נזק שייגרם לחברה, ללקוחותיה, או לצדדים שלישיים כתוצאה מהפרת מדיניות זו, ולהשבת כל הוצאה משפטית או טכנית של החברה.
- במקרה של חיוב מצד צד שלישי או רשות בגין פעולת הלקוח — הלקוח ישפה את החברה במלואו.
קבוצת פאנץ’ וי.פי.אס בע”מ · ח.פ. 516569720 · [email protected] · 03-3801180 · פניות בענייני פרטיות: [email protected]
This document contains the Master Service Agreement (MSA), the Data Processing Agreement (DPA) and seven service appendices of Punch VPS Group Ltd., Israeli company no. 516569720. These terms apply to all Company services. For existing customers: effective 10 August 2026. For new engagements: upon signing the Quote.
Version 1.1 · Updated 02.07.2026 · Effective for existing customers: 10.08.2026
This English version is provided for convenience only. The Hebrew version is the binding version and prevails in the event of any discrepancy.
Table of Contents
- Part A — Master Service Agreement (MSA)
- Part B — Data Processing Agreement (DPA)
- Appendix 1 — Cloud Backup Services (Acronis Cyber Backup)
- Appendix 2 — IT Services
- Appendix 3 — Virtual Private Server (VPS)
- Appendix 4 — Google Workspace
- Appendix 5 — Microsoft 365
- Appendix 6 — Web Hosting
- Appendix 7 — Acceptable Use Policy (AUP)
Part A Master Service Agreement (MSA)
These Terms of Service (the “Agreement”) are entered into between Punch VPS Group Ltd., Israeli company no. 516569720 (the “Company”), and the customer identified in the Quote or engagement form (the “Customer”). This Agreement applies to all services provided by the Company to the Customer, whether directly or through service-specific appendices.
1. Definitions
“Company” — Punch VPS Group Ltd., Israeli company no. 516569720.
“Business Day” — Sunday through Thursday, excluding Israeli holidays and holiday eves.
“Work Hour” — 60 minutes of work by a Company representative, measured in 15-minute units; a unit once begun is counted in full.
“Customer” — an individual or entity that has engaged the Company to receive the Services.
“Services” — the infrastructure, hosting, backup, IT, software licensing or other services agreed in the Quote and the applicable Appendix.
“Quote” — the document signed by the Customer (physically or digitally) specifying the ordered services, price and term; and in the absence of a signed Quote — the actual service terms as evidenced by the service order, invoices issued, payments made, and the parties’ actual course of conduct (Course of Dealing).
“Personal Data” — as defined in the Israeli Protection of Privacy Law, 5741-1981, and in the GDPR (Regulation (EU) 2016/679).
“System” — the cloud infrastructure, servers, management interfaces, backup systems and any other component provided by the Company for the purpose of the Services.
“Electronic Signature” — as defined in the Israeli Electronic Signature Law, 5761-2001.
2. The Agreement and Its Documents
- This Agreement comprises: (a) this main document (Part A); (b) the DPA (Part B); (c) the Appendix(es) specific to the ordered services; (d) the Acceptable Use Policy (Appendix 7); and (e) the signed Quote.
- In the event of a conflict between documents, the signed Quote shall prevail, followed by the specific Appendix, followed by this main document.
- A digital signature on a Quote through the Company’s digital system constitutes a binding signature on the entire set of Agreement documents, including the appendices referenced therein, in accordance with the Electronic Signature Law, 5761-2001.
- Application to existing and historical customers (Course of Dealing):
- It is clarified and agreed that the terms of this Agreement apply to every customer receiving services from the Company as of the effective date of these terms, whether or not a formal agreement was previously signed between the parties, and whether or not any prior agreement has been lost or is unavailable to either party.
- The contractual relationship between the parties was created and is maintained by their actual conduct — the Customer ordering the service, the Company supplying it, invoices being issued and payments being made on an ongoing basis — and it is valid and binding even without a physically signed document, in accordance with the principle of Course of Dealing and the duty of good faith under Section 39 of the Israeli Contracts (General Part) Law, 5733-1973.
- These terms shall take effect for existing customers 30 days from the earlier of: (a) dispatch of notice to the Customer’s registered email address on file with the Company; or (b) publication of the terms on the Company’s websites (punchvps.com / pcpunch.co.il).
- Acceptance by Conduct: continued receipt of the service, payment of invoices, or any use of the Company’s services after the effective date constitutes full and unqualified acceptance of this Agreement, including all of its sections and appendices. A Customer who does not accept the terms may terminate the service by notice under Section 4 below, during the notice period.
- In the event of a conflict between these terms and a prior signed formal agreement — the prior agreement shall prevail with respect to matters expressly regulated therein (including price, service level and scope); in any matter not expressly regulated by the prior agreement, these terms shall apply as supplementary terms. The parties may, by agreement, sign a renewed Quote applying the full current terms to the engagement.
3. Description of the Services
- The Company will provide the Customer with the services specified in the Quote and the applicable Appendix, subject to this Agreement.
- The Company may use subcontractors, infrastructure vendors and third parties in providing the Services, provided it remains directly responsible to the Customer for the agreed service level.
- Services not included: unless expressly stated in a dedicated Appendix, the Services do not include: incident response (IR) services, post-incident intrusion investigation (Forensics), cyber incident management, information security officer (CISO) roles, advanced information security consulting, post-attack log analysis, penetration testing, vulnerability assessments, gap analyses, security audits, regulatory compliance audits (including ISO 27001, SOC 2, IS 27001, Israeli privacy regulations), SOC services (security operations center), NOC services (network operations center), planning, authoring or operating a disaster recovery plan (DRP) or business continuity plan (BCP), assistance completing security, insurance, vendor or regulatory questionnaires on behalf of the Customer, or operation of Customer systems at the application level.
- The fact that Company officers hold professional information-security certifications does not make such services part of the contractual Services. Such services, if required, will be priced and agreed in a separate document.
3A. Reliance on Third-Party Software, Licensing and Platforms
- The Services rely on software components, licenses and platforms of third parties, including: control panel and server software, endpoint protection and filtering systems, backup systems, virtualization systems, open-source components, and network and communication services (“Third-Party Components”). The Customer acknowledges that these components are not developed by the Company and are not under its full control.
- Vendor-side changes: the Company is not responsible for changes to Third-Party Components originating with the vendor, including changes to features or interfaces, discontinuation of a product or version, changes to licensing terms, or end of support. The Company will use reasonable efforts to identify an equivalent alternative or to inform the Customer of the implications of the change.
- Price updates driven by a vendor: a licensing or infrastructure price increase by a third-party vendor constitutes grounds for a price update under Section 5.5 below, on the same terms (30 days’ prior notice and the right to terminate).
- Security incident at a third-party vendor: a compromise, breach or leak originating in a third-party vendor’s product or infrastructure (including supply-chain compromise via a vendor software update) does not constitute a breach of this Agreement by the Company, provided the Company applied the vendor’s published security updates within a reasonable time and acted in accordance with its guidance. The Company will inform the Customer and act to reduce exposure in accordance with Section 6 of Part B (DPA).
- Component replacement: the Company may replace a Third-Party Component with an alternative of reasonably similar capabilities, provided the overall service level is not materially degraded.
4. Term and Termination
- The engagement term shall be as specified in the Quote. Absent other indication, the Agreement is for an indefinite term, month to month, automatically renewing.
- The Customer may terminate the engagement at any time by written notice to the Company, with a minimum of 30 days’ notice. Termination does not entitle the Customer to a refund for any period paid in advance, unless otherwise stated in the applicable Appendix.
- The Company may terminate the engagement on 30 days’ notice; and in the event of a material breach by the Customer — immediately, subject to Section 10 below.
- Upon termination for any reason, the Company may delete the Customer’s data 30 days after the end of the engagement, unless the Customer has requested in writing that it be retained or where law requires longer retention.
5. Payment Terms and Exchange Rate
- The Customer shall pay the Company the amounts stated in the Quote against a tax invoice. Prices exclude VAT unless stated otherwise.
- Payment method: payment is made by the method agreed with the Customer (credit card, bank transfer or standing order). Credit card payments are processed through an external, PCI-DSS-compliant payment processor using tokenization; the full card number is not stored in the Company’s databases.
- Monthly billing: on a monthly plan, billing occurs at the beginning of each month. A payment delay exceeding 14 days constitutes a breach of this Agreement; in such case the Company will send written notice, and if the debt is not settled within 7 days of the notice, the Company may suspend the Services in accordance with Section 10 below.
- Exchange rate (USD → ILS): where prices are denominated in US dollars, billing in ILS will be at the Bank of Israel representative rate on the billing date, or a minimum rate of ILS 3.30 per USD — whichever is higher. The minimum rate is disclosed to the Customer in advance in this Agreement and reflects the Company’s dollar-denominated procurement costs from foreign vendors. When the representative rate exceeds 3.30, billing follows the actual rate, with no additional markup or rounding.
- Price updates: the Company reserves the right to update the service price once per three months due to exchange-rate changes, third-party vendor price changes, or infrastructure cost updates. An update will be made with 30 days’ prior notice to the Customer, who may terminate the service during that period if the new price is not acceptable.
- Linkage and default interest: amounts not paid when due bear default interest at Israeli prime + 4% per annum, without derogating from any other remedy available to the Company.
- No set-off: the Customer may not set off any amount, demand or claim against sums due to the Company, except with the Company’s prior written consent.
6. Customer Responsibilities
- The Customer is solely responsible for: (a) its content and data in the System; (b) the applications and software it installs and their updates; (c) its passwords, credentials and user access; (d) maintaining independent backup copies in addition to any backup measures provided by the Company; (e) compliance with the laws applicable to its activity, including privacy, intellectual property and e-commerce laws.
- The Customer undertakes not to use the Services for unlawful or harmful activity, distribution of spam, malware or phishing, infringement of copyright, or any activity liable to harm the Company, other users or third parties. Breach of this undertaking is a material breach of this Agreement. See also Appendix 7 (AUP).
- The Customer undertakes to update the Company in writing of any change in contact details (email, phone, contact person, payment method). Notices are deemed delivered if sent to the email address provided by the Customer in the Quote.
- Indemnification: the Customer shall indemnify the Company for any third-party demand or claim, including reasonable legal costs, arising from the Customer’s content, its use of the Services, or its breach of this Agreement — except to the extent arising from an act or omission of the Company.
7. Company Liability — Limited
- The Company will provide the Services with reasonable efforts and at a professional quality customary in the industry.
- Limitation of liability: in any case where liability is imposed on the Company toward the Customer or anyone on its behalf (if and to the extent imposed), it shall be limited to the amounts actually paid by the Customer for the 12 months of service preceding the event. The Customer confirms this limitation is reasonable given the nature of the service and the consideration charged.
- The Company shall not be liable for indirect, consequential or incidental damages, loss of profits, loss of business opportunities, loss of goodwill, or any non-direct damages of any kind.
- Notwithstanding anything in this Agreement, the limitations of liability and exemptions shall not apply to damage caused by fraud or willful misconduct, or to liability that cannot be limited or excluded by law.
- Data liability — limited to express undertakings: the Company’s liability with respect to the Customer’s information, data, content and files is limited to performance of its express undertakings under this Agreement and Part B (DPA). Beyond that, responsibility for the data, its content, its lawfulness and its independent backup rests solely with the Customer, and the Company strongly recommends maintaining an independent backup outside the Company’s infrastructure.
- No liability for backups: backup mechanisms provided by the Company are provided on a best-effort basis and do not constitute a commitment to availability, completeness or restorability. The Company is not responsible for backup failures, inability to restore, or situations where the Customer believes a backup exists and it is faulty, missing or outdated. Further detail in Appendix 1.
- Force majeure: the Company shall not be liable for delay or non-performance resulting from events beyond its reasonable control, including failures at infrastructure or connectivity vendors, cyber attacks, orders of a governmental authority, natural events, epidemics, strikes, or global internet disruptions.
- Insurance and risk management by the Customer:
- The Customer acknowledges that the Company is a provider of infrastructure and services, and is not an insurer. The consideration for the Services reflects the cost of their provision only, and does not include a risk premium for cyber damage, data loss, business interruption or third-party claims against the Customer.
- The Company recommends that the Customer consider, according to the nature of its activity and the sensitivity of the data it processes, purchasing appropriate cyber insurance and business-interruption insurance, and consulting a qualified insurance advisor specializing in cyber risk.
- The Customer confirms it has considered the risks involved in its digital activity, that it has been given the opportunity to hedge them through insurance, and that the limitations of liability in this Agreement were set, inter alia, in reliance on the Customer’s risk management and insurance being its sole responsibility.
- Nothing herein imposes on the Company any duty of insurance advice, and the Company is not a party to any policy purchased by the Customer.
- Insurance, security and vendor questionnaires: provision of the Company’s existing general documents and descriptions — free of charge. Assistance completing security, insurance, vendor or regulatory questionnaires of the Customer or anyone on its behalf, including data collection and preparation of specific responses — is not included in the Services and will be billed at the Work Hour rate.
8. Information Security
- The Company will apply reasonable, industry-standard security measures to protect the System and the data stored in it, including: encryption in transit (TLS), encryption at rest in systems and services where supported and required, controlled access management, firewalls, infrastructure monitoring, and security updates for the Company’s servers.
- An attack on the Customer is not a Company incident: an attack, intrusion, ransomware encryption or data leak in the Customer’s systems (including a website, application, database or user account managed by the Customer) is not the Company’s responsibility and does not constitute a breach of this Agreement by the Company, unless it is proven that the sole cause was gross negligence of the Company in protecting the core infrastructure.
- Incident response services are not included: in the event of a cyber incident at the Customer, the Company will enable the Customer to perform all actions required on its side in the System. IR services, intrusion investigation, incident management, notifications to authorities, log analysis, or post-attack recovery are not included in the service and are provided, if agreed, under a separate engagement for additional payment at the Company’s rates.
- Further details on Personal Data processing — Part B (DPA).
9. Confidentiality and Intellectual Property
- All intellectual property relating to the System, the Company’s software code, interfaces and processes is owned by the Company. The Customer receives a limited, non-exclusive, revocable license to use the System solely for the Services, for the term of the Agreement.
- Data stored by the Customer in the System remains fully owned by the Customer. The Company will not use it for any purpose other than providing the Services, maintenance and support, and purposes required by law.
- The parties undertake to keep fully confidential any business, technological or financial information of the other party disclosed during the engagement, for the term of the Agreement and five years thereafter.
10. Suspension and Termination for Breach
- The Company may suspend the service immediately and without prior notice in the following cases:
- activity from the System harming third parties (outbound spam, malware, phishing, outbound scanning or attack, outbound DDoS);
- unlawful activity or a legal demand of a competent authority;
- material breach of the Acceptable Use Policy (Appendix 7);
- immediate risk to the Company’s infrastructure or to other customers.
- In such suspension cases, the Company will notify the Customer at the first reasonable opportunity, and in any event no later than 48 hours after the suspension.
- The Company may suspend the service on 7 days’ notice in cases of non-material breach or non-payment, unless the Customer cures the breach during that period.
- Reinstatement after suspension: reinstatement following suspension is subject to a re-provisioning fee of $200 per Work Hour (+ VAT), in addition to payment for the elapsed period.
- Charges continue during suspension: suspension does not terminate the Agreement and does not release the Customer from payment for the remainder of the contractual term, unless the Agreement is formally terminated.
11. End of Service and Data Migration
- At the end of the engagement, the Customer may request migration or export of its data from the System. The Company will assist with reasonable efforts, within 30 days, subject to the applicable Work Hour rates.
- 30 days after the end of the engagement, the Company may permanently delete the Customer’s data, with no further retention obligation, unless law requires otherwise or the Customer has paid for an extended retention service.
- Outstanding payment obligations of the Customer do not lapse at the end of the Agreement and remain enforceable under law.
12. Updates to These Terms
- The Company may update this Agreement from time to time with 30 days’ prior notice, sent to the Customer’s registered email address in the Quote and published on the Company’s websites (punchvps.com and pcpunch.co.il).
- Continued use of the Company’s services after the effective date of the updated terms constitutes acceptance of the new terms.
- If the Customer does not accept the updated terms, it may terminate the service during the notice period under Section 4.2.
- Changes required for essential service updates, legal compliance, or security fixes may take effect immediately.
13. Jurisdiction and Governing Law
- This Agreement is governed by the laws of the State of Israel, excluding its conflict-of-law rules.
- The competent courts of the city of Haifa, Israel, shall have exclusive jurisdiction over any dispute arising from this Agreement.
- Before turning to the courts, the parties undertake to conduct good-faith negotiations for at least 30 days.
14. Miscellaneous
- Assignment: the Customer may not assign its rights or obligations under this Agreement without the Company’s prior written consent. The Company may assign its rights in the context of corporate restructuring, merger or acquisition.
- Waiver: a party’s waiver of a right under this Agreement shall not be deemed a waiver of further rights or a future waiver.
- Severability: if any provision of this Agreement is held void or unenforceable, the remaining provisions remain in full force.
- Entire agreement: this Agreement (including its appendices) constitutes the entire agreement between the parties on the matters addressed herein, and supersedes any prior oral or written agreement, promise or representation.
- Notices: any notice under this Agreement shall be sent to the email address stated in the Quote and is deemed delivered on the Business Day following its dispatch. Notices to the Company: [email protected], phone: 03-3801180.
- Statutory rights: nothing in this Agreement derogates from any mandatory right available to the Customer by law, including under the Israeli Consumer Protection Law, 5741-1981, to the extent applicable to the engagement.
- Language: this English version is provided for convenience only. The Hebrew version is the binding version, and it shall prevail in the event of any discrepancy.
Part B Data Processing Agreement (DPA)
This document constitutes the Data Processing Agreement between the Customer (the “Controller”) and the Company (the “Processor”) with respect to Personal Data processed within the Services. It is based on: the Israeli Protection of Privacy Law, 5741-1981, the Privacy Protection (Data Security) Regulations, 5777-2017, and the principles of Regulation (EU) 2016/679 (GDPR).
1. Definitions (DPA)
“Controller” — the Customer, which determines the purposes and means of processing.
“Processor” — the Company, which processes Personal Data on behalf of and per the instructions of the Controller.
“Personal Data” — any information relating to an identified or identifiable person, as defined in the Protection of Privacy Law and GDPR Article 4(1).
“Data Subject” — the person to whom the Personal Data relates (e.g., the Customer’s end customers, employees or suppliers).
“Personal Data Breach” — a security incident leading to loss, disclosure, alteration or unauthorized access to Personal Data, as defined in GDPR Article 4(12).
“Subprocessor” — a third party processing Personal Data on behalf of the Company.
2. Roles of the Parties
- The parties agree that for data protection purposes the Customer is the Controller and the Company is the Processor.
- The Customer is responsible for its obligations as Controller, including: a lawful basis for processing, notices to Data Subjects, fulfilment of Data Subject rights, and compliance with the principles of minimization, accuracy and purpose limitation.
- The Company will process Personal Data only per the Customer’s instructions and solely for providing the Services, and for no other purpose — unless required to do so by law.
- Dual role: with respect to data the Company collects for its own purposes — the Customer’s contact details and those of its contacts, billing data, Company system logs and service usage data — the Company acts as an independent Controller, and such processing is governed by the Company’s privacy policy published on its websites, not by this DPA.
3. Purposes and Types of Data Processed
- Purpose of processing: provision of the Services, hosting, backup, licensing, support and maintenance.
- Types of Personal Data that may be processed: names, contact details, addresses, phone numbers, email addresses, technical identifiers (IP, cookies, sessions), payment details (tokens — not card numbers), and content uploaded by the Customer to the System.
- Categories of Data Subjects: the Customer’s end customers, employees, suppliers and other users the Customer deals with.
- Special categories of data: the Company does not request and does not knowingly collect sensitive data (health, political opinions, beliefs, ethnic origin, biometric data). If the Customer stores such data in the System, responsibility rests with the Customer, and it confirms it has obtained the required consents from Data Subjects.
4. Processing Location
- The core of data processing takes place in Israel, in secured data centers in central Israel.
- Certain parts of the service may be performed through international infrastructure vendors (e.g., Cloudflare for CDN, Google for Workspace, Microsoft for 365). Transfers of data outside Israel will be made only to countries providing an adequate level of protection as determined under Israeli law, or under accepted mechanisms (EU Standard Contractual Clauses).
5. Technical & Organizational Measures
5.1 Company-side measures (as Processor)
The Company will implement, in the systems under its direct management and within the scope of the service it provides, reasonable technical and organizational measures in line with GDPR Article 32, including:
- Encryption in transit — TLS 1.2+ for all traffic to and from Company systems;
- Encryption at rest — in systems and services where supported and required by the nature of the service;
- Access control for Company personnel — access to systems and customer environments is granted only to authorized Company personnel and subcontractors, per Least Privilege, using multi-factor authentication and subject to access logs;
- Separation of customer environments — logical or physical isolation between the Company’s different customers;
- Firewalls, monitoring and ongoing security updates in the Company’s core infrastructure;
- Infrastructure backups of Company systems (image-level) — per the applicable Appendix;
- Training of Company personnel and subcontractor personnel under its responsibility — in information security, privacy protection, and identifying social-engineering attempts;
- NDAs with Company personnel and with subcontractors that have access to Personal Data.
The Company’s security measures are reviewed and updated on an ongoing basis, per current threats and requirements.
5.2 Boundaries of Company responsibility — what is not under its control
The above measures apply only to areas under the Company’s control. The Company is not responsible for security measures in systems not under its direct control, including: the Customer’s workstations, the Customer’s organizational network, applications the Customer installs on its servers, passwords and identities managed by the Customer, or any third-party vendor system used by the Customer.
5.2.1 Customer conduct as the cause of a cyber incident
The Customer acknowledges that conduct, omission or negligence on its part or its employees’ part in systems under its control may lead to a cyber incident, including: intrusion, ransomware encryption, data leakage, hostile account takeover, or infrastructure penetration. Non-exhaustive examples:
- weak, default or shared passwords, and failure to enable multi-factor authentication where available;
- use of unpatched workstations, without antivirus / EDR, or infected with malware;
- opening malicious attachments, clicking phishing links, or exposing access credentials;
- installing unverified third-party plugins, themes or code on Customer servers (including WordPress and other CMSs, scripts);
- failure to update Customer software, databases, or open-source components with known vulnerabilities (CVEs);
- sharing root / admin privileges beyond what is necessary;
- use of insecure third-party vendors connected to the Customer’s account (API keys, OAuth integrations);
- failure to separate testing and production environments.
In such a case, the Company cannot assume responsibility for the incident, its origin, its consequences, or the costs incurred in addressing it.
5.2.2 Incident handling requires an IR team, which is not part of the service
Handling an active cyber incident at the Customer requires an Incident Response (IR) team — a dedicated discipline including isolation of infected systems, investigation of the intrusion vector, log analysis, evidence collection (Forensics), safe recovery, and post-incident security hardening.
Incident response (IR), cyber incident management and Forensics are not part of the IT, Help Desk or OS-level management services in any Company package. They are not included in monthly hour allocations, are not subject to the standard SLA response times, and are not provided by the routine operations team.
IR services are provided only under a separate engagement, for additional payment, subject to availability of a dedicated team, and at the rates stated in Appendix 2. See also Appendix 2, Section 4 (implementation of an external CISO’s policy) and Section 5 (advanced security services — available under separate engagement).
The Customer expressly confirms it understands that failure to meet basic security principles within its own domain may expose it to high incident-handling costs, and that such costs are not covered by the Services included in this Agreement.
5.3 Customer responsibility as Controller
The Customer, as Controller, is solely responsible for:
- security measures in its own systems and its employees’ work environment (workstations, internal networks, BYOD);
- user, password, permission and access management in the Customer’s account within Company systems;
- training its employees and users in safe use of the services;
- compliance with its obligations under the Protection of Privacy Law, 5741-1981, its regulations, and the GDPR to the extent applicable;
- applying security measures appropriate to the sensitivity of the data it stores or processes through the Services.
The Company invites the Customer to review Appendix 2 (IT), Section 5, describing advanced services available for separate purchase to strengthen the Customer’s security posture.
6. Security Incident Notification
6.1 What constitutes a security incident under this section
“Security incident” means loss, exposure, alteration or unauthorized access to Personal Data, as defined in GDPR Article 4(12) and the Privacy Protection (Data Security) Regulations, 5777-2017.
6.2 This section applies only to the following services
This Section 6 applies to services in which the Company acts as Processor and holds or processes the Customer’s Personal Data on infrastructure under its control, namely:
- Virtual Private Server (Appendix 3);
- web hosting (Appendix 6);
- IT services (Appendix 2) — for systems under the Company’s direct, ongoing management.
This section does not apply to pure reseller services, where the Company resells a third-party SaaS whose vendor is the direct Processor:
- Google Workspace (Appendix 4) — data is stored and processed by Google LLC;
- Microsoft 365 (Appendix 5) — data is stored and processed by Microsoft Corporation;
- Acronis cloud backup (Appendix 1) — data is stored and processed by Acronis in its cloud.
For these services, breach notification is the responsibility of the third-party vendor per its public agreements with its customers. The Company will forward to the Customer any relevant notice it receives from the vendor.
6.3 Incident at the Company’s infrastructure level
A Company infrastructure-level incident is an incident originating in the Company’s core systems, whose consequences may affect multiple customers simultaneously or the System as a whole — including: intrusion into the Company’s virtualization environment (hypervisor), breach of the Company’s administrative database, penetration of the internal management network of the server farm, leakage from general backup infrastructure, or compromise of the Company’s privileged access (root / domain admin).
- In the event of a Company infrastructure-level incident affecting the Customer’s Personal Data, the Company will notify the Customer in writing, without undue delay and no later than 72 hours from becoming aware of the incident, including: a description of the incident, the data types affected (to the extent known), steps taken, and recommended steps for the Customer.
- The Company will reasonably assist the Customer, within its technical capabilities, with the information and data the Customer requires to fulfil its legal obligations.
6.3.1 Customer-specific incident occurring within the Company’s infrastructure environment
There is a material distinction between a Company infrastructure-level incident (Section 6.3 above) and an incident occurring in the Customer’s specific environment on top of the Company’s infrastructure — without the infrastructure itself being compromised. Non-exhaustive examples:
- a breach of the Customer’s hosting account through a weak password managed by the Customer;
- takeover of the Customer’s virtual server via brute force on a service the Customer exposed (SSH, RDP, database) without adequate protection;
- intrusion into the Customer’s WordPress / CMS site through a plugin, theme, or outdated version;
- an exploit of a vulnerability in an application the Customer installed on its server;
- leakage of API keys, OAuth credentials, or tokens stored by the Customer in its application;
- ransomware reaching the Customer’s environment through the Customer’s network or workstations.
In all the above cases, the Company’s infrastructure was not compromised and was not the cause of the incident. The incident occurred within the Customer’s own environment — its account, application, code, or permissions. Such an incident is not a Company incident under this section, and Section 6.5 below applies.
The Company will provide the Customer, where possible, access to logs, server data and reasonable technical assistance to understand the incident — which does not in itself constitute an admission of liability. Dedicated incident-handling services (IR, Forensics, advanced log analysis) — per Appendix 2.
6.4 The duty to report to the Privacy Protection Authority rests solely with the Customer
- Under Regulation 11 of the Privacy Protection (Data Security) Regulations, 5777-2017, as amended by Amendment 13 to the Protection of Privacy Law, 5784-2024, the duty to report a severe security incident to the Privacy Protection Authority rests with the database owner.
- The database owner with respect to data stored through the Company is the Customer. The party authorized to report on its behalf is the senior officer of the Customer’s organization (CEO / owner / a person authorized in writing by the database owner).
- An information security officer (CISO) — whether internal, external, or under a CISO-as-a-Service engagement with the Company — is not authorized to report to the Privacy Protection Authority on the Customer’s behalf. The CISO’s role is advisory: managing the professional handling of the incident and supporting the database owner in preparing the report. The filing itself is not within the CISO’s authority.
- Notification to Data Subjects, where required by law, is likewise the responsibility of the Customer as Controller.
6.5 Incident in the Customer’s systems
A security incident originating in the Customer’s systems — e.g., a breach of the Customer’s WordPress site, compromise of an admin account managed by the Customer, intrusion from a workstation in the Customer’s organization, or loss of identities managed by the Customer — is not a Company security incident. Its handling, any required report to the Privacy Protection Authority, and notification to Data Subjects are the Customer’s responsibility alone.
7. Data Subject Rights
- The Company will reasonably assist the Customer in fulfilling Data Subject requests, including: access, rectification, erasure, portability, and objection to processing.
- Data Subject requests will first be referred to the Controller (the Customer). If a Data Subject approaches the Company directly, the Company will refer them to the Customer and notify the Customer of the approach.
- Assistance beyond referral and basic forwarding may be chargeable at the Company’s Work Hour rate.
8. Subprocessors
- The Company may use Subprocessors to provide the Services, provided it imposes on them security and privacy obligations equivalent to those applicable to it.
- The principal Subprocessors, by category: cloud and network infrastructure vendors (including Cloudflare for CDN and DNS security), billing and tokenization vendor (iCount), resold SaaS vendors (Google LLC for Workspace, Microsoft Corporation for M365, Acronis for backup), control panel and server software vendors, endpoint protection and filtering vendors, and the data center operator. An up-to-date named list is published on a dedicated page on the Company’s websites (punchvps.com and pcpunch.co.il) and forms an integral part of this DPA.
- A change or addition of a Subprocessor will be notified 30 days in advance; the Customer may object on reasonable grounds. If no resolution is reached, the Customer may terminate the engagement on a further 30 days’ notice.
9. Retention and Deletion
- Retention periods: account data and invoices — seven years (tax law requirements); system and infrastructure logs and support tickets — for the periods customary at the Company according to the log type and system; billing identifiers (tokens) — held by the external payment processor per PCI-DSS, for as long as billing continues.
- Clarification: logs, backups and data within systems managed by the Customer (including inside the Customer’s virtual server or hosting account) — their configuration, retention and policy are the Customer’s sole responsibility, and the Company neither determines nor enforces retention periods for them.
- At the end of the retention periods, or at the Customer’s request (and subject to law), the Company will permanently delete the data or return it to the Customer per its instruction, subject to additional statutory retention duties. At the Customer’s request, the Company will provide written confirmation (including by email) of completed deletion.
10. Audits and Reviews
- At the Customer’s request, the Company will provide a general written description of its information security principles, based on the Company’s existing documents, free of charge. Responses to specific or customized questionnaires, supply-chain questionnaires, mappings against frameworks and standards (such as NIST, ISO, ISACA), or dedicated audit requirements of the Customer or anyone on its behalf — are provided under a separate engagement for payment, per Section 7.7 of Part A.
- An on-site audit of the Company is available to institutional customers subject to advance coordination, confidentiality, and payment of the audit costs.
11. Privacy Contact
Questions regarding this DPA or Personal Data matters should be directed to the Company’s Information Security Manager at: [email protected].
Appendix 1 Cloud Backup Services (Acronis Cyber Backup)
This appendix forms an integral part of the Agreement and sets out the special terms applying to the cloud backup services provided to the Customer, based on Acronis Cyber Backup technology.
1. Service Description
- The Company provides the Customer access to the Acronis Cyber Backup system, including: a management console, cloud storage allocation per the Quote, the ability to install agents on the Customer’s workstations and servers, and scheduling of backup and restore tasks.
- The service is an infrastructure service — the Company provides the platform, storage and interface. Actual execution of backups, file selection, scheduling, monitoring and failure handling are the Customer’s responsibility.
- The service is provided under a reseller model of the backup platform: the Company allocates resources to the Customer under its reseller account with the vendor, and backup data is stored in the vendor’s data center in Israel, per the current service configuration.
2. What the Company Does Not Do — Important
- The Company does not monitor the backups: the Company does not routinely check whether backup tasks succeeded, whether the agent is online, whether the last backup ran on schedule, or whether storage is nearing capacity.
- The Company does not alert on failures: a backup failure (disconnected agent, failed task, full storage, incomplete backup) is not automatically routed to the Company. Such alerts appear in the Customer’s console, and it is the Customer’s responsibility to track them.
- The Company does not perform restore tests: verification that a backup is actually restorable is not part of the service. The Customer is asked to perform periodic restore tests itself.
- The Customer receives console access: the Customer is given credentials to the Acronis console. Through it, the Customer (or its IT contact) can view backup status, receive alerts, make changes and verify integrity.
3. Restore
3.1 Self-service restore via the console
The Customer may perform restores independently through the Acronis console, without quantity limits and without Company approval. There is no limit on the number, scope or timing of restores. The Company recommends the Customer authorize its IT contact, or a representative, to perform restores routinely.
3.2 Human assistance included in the service
- Initial training: after service setup, the Company will provide a one-time initial training to the Customer’s IT contact (or representative) on using the console and performing basic restores. The training is included in the service.
- Human assistance up to 3 times per year: if the Customer requires assistance during a restore, a human support representative of the Company will assist up to 3 times per calendar year at no extra charge. The Company will log assistance dates; the count runs per calendar year.
- Beyond 3 times per year: a further assistance request will be answered with a written technical guide sent to the Customer’s email, free of charge.
- Additional training or professional support: provided for an additional charge, at the then-current Work Hour rate.
3.3 Backup monitoring service — optional, separate
For customers without in-house IT, or those who want ongoing oversight and active Company involvement in backup monitoring, a separate backup monitoring service can be purchased. It includes: ongoing monitoring of backup health, alerting on failure or irregularity, and proactive intervention by a human representative for handling and restore as needed. Pricing is agreed in a separate quote.
3.4 Restore liability boundaries
The Company does not commit to restore time, backup completeness, restorability of a specific version, or the outcome of a restore. The included human assistance under Section 3.2 likewise does not constitute a commitment to a result.
4. Prices and Rates
- The service price is based on storage volume, number of protected machines (agents), and service type, as specified in the Quote.
- Exceeding the ordered volume is billed at the rate in the Quote or, absent one, at the Company’s standard rate.
- Exchange rate for billing — per Section 5.4 of Part A.
5. Customer Responsibilities
- The Customer is responsible for: installing agents, configuring backup tasks, ongoing monitoring, periodic restore tests, and ensuring all its critical assets are covered.
- The Customer is responsible for informing the Company of new workstations, material configuration changes, or volume increase requests.
- Data loss due to a missing backup, a faulty backup, or lack of restore testing is the Customer’s responsibility.
6. Retention and Service Termination
- Backups are retained per the retention policy configured by the Customer in the console. The Company is not responsible if the Customer configured an insufficient retention period.
- Upon service termination, backups are retained for 30 days and then permanently deleted. The Customer may request extended retention (chargeable).
Appendix 2 IT Services
This appendix sets out the special terms applying to the IT services provided to the Customer.
1. Service Description
- IT services include: technical support, installations and configuration changes, management of workstations and peripherals, user account management in defined environments, and handling of service calls.
- Service scope, monthly work hours and SLA response — per the Quote.
- Work hours exceeding the monthly allocation — at the additional Work Hour rate in the Quote, or the Company’s standard rate.
2. Security Level Included in the Service (Baseline)
IT services include a good, basic level of information security, suitable for small and medium businesses not subject to strict regulation. This level includes, among others:
- a firewall at the network or workstation level;
- basic endpoint protection (antivirus / EDR): installation of a protection agent under the vendor’s license, in the vendor’s default configuration, and point-in-time handling of alerts within service hours. This does not include continuous monitoring of the protection console, incident investigation, custom rule authoring, proactive active containment or response management — which are advanced services per Section 3 below;
- routine operational OS security updates;
- a reasonable password policy and basic permissions;
- backup as agreed (see Appendix 1 where relevant);
- reasonable usage guidance for end users.
The baseline level is based on a flat network architecture and standard products. It does not constitute an advanced information security strategy.
3. Not Included — Advanced Information Security Strategy
- Incident Response (IR): handling an active cyber incident at the Customer, attack analysis, incident containment, forensics tooling, or post-attack recovery.
- Post-incident investigation (Forensics): technical investigation of evidence, advanced log analysis, evidentiary documentation for legal or regulatory purposes.
- CISO role: strategic security consulting, security program management, defense planning, risk assessments, or signing documents in the capacity of an information security officer.
- Cyber incident management: acting as the Customer’s SOC or IR team during an incident.
- Notification and liaison with authorities: filing reports with the database registrar, engaging with a regulator, or representation before external bodies.
- Penetration testing: controlled attack simulation on Customer systems, exploitation, Red Team / Purple Team exercises, or penetration test reports.
- Vulnerability Assessments (VA): structured vulnerability scans, scan result analysis, and CVSS scoring.
- Gap analyses: review and reporting of current state versus a target standard or policy (including ISO 27001, ISO 27017, SOC 2, IS 27001, GDPR, Israeli privacy regulations, NIST CSF, CIS Controls).
- Security audits: periodic audits, control reviews, stakeholder interviews and audit reporting.
- Regulatory compliance audits: reviews for standards compliance, including certification preparation, accompanying an accountant or regulator.
- Vulnerability management and CVE remediation: implementing an enterprise vulnerability management platform, ongoing CVE identification, coordinated remediation, and a professional patch-management process across the organization.
- SIEM: planning, licensing, installation, tuning and operation of a security event collection and correlation platform.
- SOC services (Security Operations Center): 24/7 security event monitoring, alert analysis, live incident investigation, documentation and intelligence sharing. Clarification: SOC services are an entirely separate service and are not included in any IT or management package.
- NOC services (Network Operations Center): continuous 24/7 infrastructure and network monitoring by a dedicated operations center, including proactive response to infrastructure alerts. Clarification: NOC services are an entirely separate service and are not included in any IT or management package.
- Advanced EDR Detection & Response: professional operation of an enterprise EDR platform, alert analysis, indicator investigation, and active containment.
- Network segmentation / micro-segmentation: design and implementation of logically separated network architecture, ACLs, internal firewalls, and Least Privilege.
- Zero Trust Network Access (ZTNA): Zero Trust architecture design and implementation, identity- and context-based access, replacing broad VPN with per-application access.
- Advanced endpoint hardening: baselines per accepted standards, disabling unnecessary services, full disk encryption, and application whitelisting.
- Threat Hunting and Threat Intelligence: proactive hunting for threats not yet detected by automated tools, cyber intelligence collection and use for early detection.
- Strategic security consulting: multi-year security program, roadmap, vendor selection, security budget management, and board advisory.
- Software development / custom code: writing code, programming, application development, or code-level intervention in Customer systems.
Company officers holding certifications
If and to the extent a Company officer holds a professional CISO certification or another information security certification — this does not include their services in that capacity within this Agreement. Such services are provided only under a separate engagement, priced separately.
4. Implementing an External CISO’s Policy in the Customer’s Organization
Such implementation work is not part of the IT, Help Desk or management services under this Agreement, even where the Company continues to serve as the Customer’s routine IT provider. It will be performed only under a separate engagement or as additional paid work hours, subject to the Customer’s advance approval, including without limitation:
- implementing security controls defined by the external CISO;
- hardening systems, workstations or servers per a defined baseline;
- configuration changes to the network, endpoints, credentials or permissions per the CISO’s instructions;
- documenting actions, preserving evidence, and writing control documents for audit or certification processes (ISO, SOC, IS);
- responding to documentation demands or interviews within an audit, penetration test, or gap analysis initiated by the external CISO;
- implementing findings of a penetration test / survey / audit report — including remediating identified vulnerabilities, implementing access controls, architecture changes;
- responding to DPA, GDPR, Israeli privacy regulation requirements, or Data Subject rights requests;
- participation in professional meetings, steering committees, exercises (tabletop, DR drill) or IR scenarios initiated by the CISO;
- allocation of Company personnel to projects led by the external CISO.
Such work requires substantial hours, dedicated expertise, and often dedicated staffing. The Company will provide a dedicated proposal for such work and perform it only after the Customer’s written approval.
5. Advanced Security Services — Available Under Separate Engagement
All services designated “not included” in Section 3 above are available for purchase from the Company under a dedicated, separate engagement, including:
- Appointment of an organizational CISO — including serving as the designated information security officer, registration and updates with the Israel National Cyber Directorate where required, professional ownership of the security policy, and representation before internal and external stakeholders.
- SOC, SIEM, vulnerability management (CVE) and incident response (IR) services — per agreed scope and availability.
- Penetration tests, surveys, gap analyses and regulatory compliance audits.
- Design and implementation of advanced security architectures — segmentation, ZTNA, endpoint hardening, threat hunting.
- Strategic security consulting — multi-year roadmap, vendor selection, budgeting, and executive/board advisory.
Pricing structure
- Setup cost: one-time, varying by service scope, systems to be deployed (e.g., vulnerability management platform, SIEM, EDR), and complexity of the existing environment.
- Monthly retainer: separate from any other recurring charge, reflecting the agreed monitoring, response and advisory scope.
- Urgent work-hour rate (active incident / IR): as agreed, with a minimum incident-package charge.
- Specific scope, rates and terms are signed in a dedicated separate agreement, governed by Part A of this Agreement (MSA) but not included in any other package.
6. Additional Work Hour Rates
- A regular work hour exceeding the monthly allocation — at the rate stated in the Quote.
- IR / active incident services: $250 + VAT per Work Hour, per team member allocated by the Company to the incident and according to the required team size, unless otherwise agreed separately. Minimum incident-package charge — 8 hours.
- Work time is measured in 15-minute units; a unit once begun is counted in full.
7. Support Desk Hours and SLA
- Support desk hours for routine calls: Sunday-Thursday, 08:00-18:00.
- Urgent / system-down calls outside business hours — handled on a reasonable-efforts basis, via the contact channels provided to the Customer.
- Start of handling for a routine call — within 8 work hours of opening. Start of handling for an urgent call — within 2 hours, where possible.
- The Company does not commit to completing handling within a given timeframe — start of handling only.
8. Miscellaneous
- The Customer undertakes to provide the Company all information required to handle a call, including system access, passwords, and third-party details where needed.
- The Company is not responsible for failures resulting from insufficient information provided by the Customer.
Appendix 3 Virtual Private Server (VPS)
This appendix sets out the terms applying to virtual private server (VPS) services allocated to the Customer in the Company’s server farm in Israel, on any operating system (including Linux and Windows) as agreed in the Quote.
1. Specifications and Allocation
- Resource allocation (CPU, RAM, storage, IP addresses, bandwidth, traffic) — per the Quote.
- The server is provisioned in a secured server farm in Israel, subject to availability.
- Initial provisioning, standard OS installation and initial orientation — included.
2. SLA — Service Availability
- Uptime: the Company commits to 99.72% (ninety-nine point seventy-two percent) annual availability of the core infrastructure. Planned maintenance is performed at pre-coordinated times and is not counted as downtime.
- Exclusive remedy for unavailability: for failure to meet the availability target, the Customer is entitled, upon written request within 30 days of the event, to a proportional refund or credit of the monthly service fees for the actual period of unavailability, and in any event no more than one month’s service fees cumulatively per year. Such credit is the sole and exclusive remedy for unavailability, subject to the exceptions in Section 7 of Part A.
- Routine desk hours: Sunday-Thursday, 08:00-20:00.
- Urgent / outage calls: outside business hours — handled on a reasonable-efforts basis, via the contact channels provided to the Customer.
- Start of handling: within 4 work hours for a routine call, within 1 hour for an urgent call (where possible).
3. Management
- Management hours: the service includes monthly OS-level management hours at the scope stated in the Quote; absent indication — up to 10 hours per month. Each additional Work Hour is billed at $150 + VAT.
- Management is a system-administration service at the operating-system level only, and includes: OS updates, standard package installation, basic resource monitoring, and support call handling.
- Management does not include: development, installation of custom applications requiring development, CMS management (WordPress / Drupal / Magento etc.), DBA-level database management, CISO roles and security consulting, IR and cyber incident management, planning or operating a disaster recovery plan (DRP) or business continuity plan (BCP), penetration testing, vulnerability assessments, gap analyses, security audits, or regulatory compliance audits (ISO 27001 / SOC 2 / IS 27001 etc.). These are provided under a separate engagement for additional payment (see Appendix 2).
- Acceptable use: the Acceptable Use Policy (Appendix 7) applies in full to the virtual server, to any use made of it and to any content stored on it — including the prohibition of unlawful or offensive content, unlawful gambling, prohibited mailing, and outbound attacks or scans. Responsibility for any use made of the server rests solely with the Customer, and breach of the policy entitles the Company to suspend the service per Section 10 of Part A.
4. Bandwidth
- Included monthly traffic — per the Quote (e.g., 5TB).
- Traffic above the included volume — $0.01 + VAT per additional 1GB.
5. Protection and DDoS
- The infrastructure includes network-level DDoS protection, provided through a dedicated infrastructure vendor.
- Large volumetric attacks (≥ 1 Gbps / ≥ 100k pps): the Company may temporarily null-route the Customer’s IP address to protect the rest of the infrastructure. The IP is restored after the attack subsides.
- A Customer requiring extended protection capabilities beyond this — the Company will assist in evaluating a suitable third-party solution, priced separately.
6. Operating System and Updates
- The Company provides a vendor-supported operating system in industry-standard condition.
- When the OS reaches End of Life, the Company will notify the Customer 60 days in advance and offer an upgrade path.
- Continued use of an unsupported OS beyond 60 days is at the Customer’s sole responsibility, and the Company is not liable for security flaws arising from it.
- OS upgrades — chargeable per work hours, or within the monthly management hours if the Customer so elects.
7. Infrastructure Backup
- Where an infrastructure backup service was ordered in the Quote — image-level backup of the virtual machine is performed daily, on a best-effort basis. Where no backup service was ordered — no infrastructure backup is performed for the server, and full responsibility for data backup rests with the Customer. Infrastructure backups are not a substitute for application or internal data backup.
- Backups are retained up to 14 days back and deleted automatically.
- Restore — at the Customer’s request and chargeable (minimum 2 work hours). Target time — within 8 work hours. The Company does not warrant backup completeness or restore success.
- The Customer is asked to maintain an additional independent backup of data important to it.
8. Cancellation and Re-provisioning
- Customer-initiated cancellation — 30 days’ prior written notice, per Section 4 of Part A.
- Service closure due to non-payment or breach — per Section 10 of Part A.
- Re-provisioning after suspension — $200 per Work Hour (+ VAT), in addition to payment for the elapsed period.
Appendix 4 Google Workspace
This appendix sets out the terms applying to the Google Workspace service (formerly G Suite) provided to the Customer through the Company as an authorized reseller.
1. Service Description
- The service is Google Workspace — Google’s cloud suite including domain email, Drive, Docs, Sheets, Slides, Meet, Calendar and additional tools per the selected plan.
- The service is SaaS provided by Google LLC. The Company acts as an authorized reseller and provides support and onboarding.
- Google’s terms (Google Workspace Terms of Service) apply to the Customer directly in its relationship with Google.
2. Domain Registration (where relevant)
- Domain registration is made for the period selected by the Customer in the Quote (one year or more), billed one-time.
- The domain is registered in the Customer’s name (as Registrant) and is its property for all purposes.
- Finality of registration: a domain registration takes effect immediately and definitively at the applicable registry. Under the policies of the Israeli registry (the Israel Internet Association) and the international registries (ICANN), a completed registration cannot be cancelled, and the registration fee is collected by the registry in any event. Accordingly, a completed registration cannot be cancelled and is non-refundable, and the Customer is asked to verify the domain spelling and order details before confirming.
- Automatic renewal: at the end of the term the domain renews automatically via the payment method available in the system, to prevent loss. As a rule, a reminder will be sent to the Customer’s registered email address before the renewal date; failure to send a reminder does not derogate from the validity of the renewal or from the payment obligation.
- Domain maintenance includes: (a) advanced DNS management (A, AAAA, MX, TXT, SPF, DKIM, DMARC, SRV, CAA, CNAME); (b) automatic renewal at term end; (c) management of the domain under the Company’s Cloudflare account, including CDN, DDoS protection, basic WAF rules and free SSL. The account remains owned and managed by the Company.
- Transfer to another registrar: the Customer’s responsibility. Upon request, the Company will issue a transfer code (Authorization Code / EPP) and email it to the registered contact. Completing the transfer at the receiving registrar and managing DNS afterwards — the Customer’s responsibility.
3. What the Company Does Not Do
- The Company is not responsible for Google’s availability, functionality or policies. Any fault in Google’s systems is Google’s responsibility.
- The Company does not manage the Customer’s day-to-day Workspace account (users, passwords, permissions) unless expressly agreed for an additional charge.
- The Company does not provide IR, CISO or cyber incident management services within the Customer’s Workspace account (see Appendix 2).
4. Special Limitation of Liability
The Company’s liability for Workspace services is limited to the reseller services themselves — consulting, setup, support. Responsibility for Google’s infrastructure and privacy policies rests with Google per its public agreements.
5. Price, Billing and Transfer
- Monthly or annual billing per the Quote.
- Exchange rate — per Section 5.4 of Part A (USD/ILS with a 3.30 floor).
- Transfer to another reseller or direct to Google: if the Customer transfers the account to another reseller or to direct Google billing without the Company’s consent and before the end of the commitment period — the agreement is deemed terminated at the Customer’s initiative, and the Customer will be charged for the full remaining contractual period plus the full setup fees, even if setup was initially provided free of charge.
Appendix 5 Microsoft 365
This appendix sets out the terms applying to the Microsoft 365 service provided to the Customer through the Company as a reseller.
1. Service Description
- The service is Microsoft 365 — Microsoft’s cloud suite including Exchange Online, OneDrive, Teams, SharePoint and Office applications per the selected plan.
- The service is provided by Microsoft Corporation. The Company acts as a reseller.
- Microsoft’s terms (Microsoft Customer Agreement) apply to the Customer directly in its relationship with Microsoft.
2. Included and Not Included
- Included: license purchasing, initial setup, initial training, email and phone support per the package.
- Not included: advanced Intune management, hybrid Active Directory management, Power Platform development, Endpoint Manager design, or SOC services. These are provided separately.
3. Limitation of Liability
The Company’s liability is limited to the reseller services. Responsibility for Microsoft’s infrastructure and policies rests with Microsoft.
4. Price and Billing
- Monthly or annual billing per the Quote.
- Exchange rate — per Section 5.4 of Part A (USD/ILS with a 3.30 floor).
- Commitment period: certain Microsoft licenses (Annual) require a one-year commitment. Cancellation before term end — charge for the remaining period.
- Transfer to another reseller: subject to Microsoft’s terms. Leaving before the end of the commitment — charge for the remaining period plus setup fees.
Appendix 6 Web Hosting
This appendix sets out the terms applying to website hosting on the Company’s hosting infrastructure, with or without a management panel, as specified in the Quote.
1. Service Description
- The service includes, per the package in the Quote: allocated storage, FTP accounts, email forwarding, monthly traffic, management panel access (where included in the package), an infrastructure security package (web application firewall, malware scanning and prevention, multi-layer protection), a free SSL certificate, daily infrastructure backup, and a dedicated CMS management tool.
- The service is a shared-resource package. The shared server is intended primarily for brochure sites, landing pages, and sites with reasonable traffic volumes.
2. SLA — Service Availability
- Uptime: 99.72% annual infrastructure uptime. Scheduled maintenance is not counted as downtime. Remedy for unavailability — as set out in Appendix 3, Section 2, mutatis mutandis.
- Routine desk hours: Sunday-Thursday, 08:00-20:00.
- Start of handling: within 4 hours for a routine call, within 1 hour for an urgent call.
3. Service Boundaries
- No development / programming services: the service is infrastructure only. The Company does not intervene at the code or content level of the Customer’s site.
- WordPress / CMS management: updating WordPress, plugins, themes and any CMS-level management is the Customer’s responsibility. The Company provides a CMS management tool as infrastructure only.
- Excessive shared-resource use (noisy neighbor): where one site adversely affects the shared server’s performance, the Company may limit its resource allocation or move it to another server, in order to preserve service stability for all customers. Where possible this will be coordinated in advance; in urgent cases — without prior notice, with the Customer updated at the first reasonable opportunity.
- Information security — service boundary: the server includes a multi-layer infrastructure security package (web application firewall, malicious code scanning, and basic prevention mechanisms). This is infrastructure-level security only — it blocks a significant share of common threats, but does not constitute a professional information security service and does not replace an organizational defense strategy. Not included, and provided only under separate engagement: IR services, CISO, penetration tests, vulnerability assessments, gap analyses, security audits and regulatory compliance audits, vulnerability management and CVE remediation, event collection and correlation platforms, 24/7 monitoring services, advanced security response, logical segmentation, Zero Trust architecture, threat hunting, and strategic security consulting (full detail in Appendix 2).
- Automatic protection mechanisms: the infrastructure security package is based on industry-standard mechanisms (such as a web application firewall and malicious code scanning), which may, as part of their automatic operation, block requests or isolate and neutralize files and code components identified as malicious. This does not constitute a commitment by the Company to detect, block or remove malicious code, and no such automatic action on code identified as malicious shall give rise to Company liability for resulting damage. Responsibility for the integrity and cleanliness of the code on the Customer’s sites rests solely with the Customer.
4. Backup
- Daily infrastructure backup by the Company — best-effort, 14 days back, not a substitute for application backup.
- Restore — additionally chargeable, minimum one work hour. The Company does not warrant backup completeness.
- The Customer is asked to maintain an additional independent backup.
5. Traffic and Storage
- Included monthly traffic — per the Quote (e.g., 5TB).
- Excess — $0.01 + VAT per additional 1GB.
- Storage overage — billed per rate.
6. Content Removal and Modification
- The Company may remove unlawful, offensive or copyright-infringing content — after reasonable notice, or immediately in severe cases.
- Upon a legal demand of a competent authority, the Company may remove content without notice and shall not be liable for damage caused to the Customer as a result.
7. Price and Billing
- Monthly or annual price per the Quote.
- Exchange rate — per Section 5.4 of Part A (USD/ILS with a 3.30 floor).
Appendix 7 Acceptable Use Policy (AUP)
This policy applies to all Company customers and all users on their behalf. Breach of this policy constitutes a material breach of the Agreement and entitles the Company to immediately suspend the service.
1. Prohibited Uses
- Unlawful activity: any activity contrary to the laws of the State of Israel or international law.
- Copyright and IP infringement: storing, distributing or sharing protected content without a license.
- Offensive content: child sexual abuse material, violent, terror-promoting, racist content, or content violating any law.
- Fraud and deception: phishing sites, scams, financial fraud, misrepresentation.
- Malware: storing, distributing or controlling malware, viruses, ransomware, trojans, botnets, exploit kits.
- Spam and unsolicited email: bulk email without consent, purchased or unlawfully obtained mailing lists, or any aggressive marketing activity.
- Outbound scans and attacks: port scanning, vulnerability scanning of systems not owned by the Customer, intrusion attempts, brute force, or outbound DDoS.
- Identity fraud: impersonating another person, company, or authority.
- Unlawful gambling: gambling sites not compliant with the law applicable where they operate.
- Unfair resource use: excessive CPU / RAM / I/O consumption on a shared server, or long-running background processes.
- Cryptocurrency mining: on Company resources, shared or dedicated, without prior written approval.
- Open intermediary services: operating an open proxy, public VPN service, or TOR exit node from the infrastructure.
- Exceeding mail quotas: sending email in volumes exceeding the quota set for the server or account, even where the mailing itself is lawful.
- Violation of court orders: storing or distributing material subject to a gag order, or any content violating a judicial order.
- Malicious systems and bots, including AI-based: establishing or operating bots and automated systems for malicious purposes, including AI-based systems, as well as storing or running attack scripts and tools (including reverse shells, C2 command-and-control infrastructure, and exploitation tools) — other than within an authorized, coordinated and pre-documented security test.
2. Enforcement
- The Company may, at its sole discretion, determine that a given activity breaches this policy.
- Immediate suspension without notice: in cases of immediately harmful activity — child abuse material, terror activity, outbound DDoS, malware distribution, or a legal demand — the Company will suspend the service forthwith.
- Suspension with prior notice: in other cases, the Company will give written warning and allow 48 hours to cure before suspension.
- Cooperation with law enforcement — the Company will cooperate with lawful demands of competent authorities in Israel and abroad.
3. Liability and Recovery of Damages
- The Customer is liable for any damage caused to the Company, its customers, or third parties as a result of breaching this policy, and for reimbursing any legal or technical expense of the Company.
- In the event of a charge by a third party or an authority due to the Customer’s actions — the Customer will fully indemnify the Company.
Punch VPS Group Ltd. · Company no. 516569720 · [email protected] · +972-3-3801180 · Privacy matters: [email protected]
