מדיניות פרטיות

InvoiceBot — מערכת לניהול חשבוניות של עצמאיים ועסקים קטנים

בקצרה: InvoiceBot קוראת רק מיילים שנראים כחשבוניות. אין לנו הרשאה לשלוח, למחוק או לשנות מיילים. הקבצים שלך מוצפנים ונשמרים באירופה. אתה יכול לנתק, לייצא הכל, או למחוק הכל — בקליק אחד, בכל רגע.

1. איך אנחנו ניגשים ל-Gmail שלך

כשאתה מחבר Gmail, גוגל מציגה מסך הסכמה רשמי שלה (לא שלנו). אתה נותן לנו הרשאת קריאה בלבד (scope: gmail.readonly). משמעות:

✅ יכולים: לקרוא מיילים ולחלץ שדות חשבונית

❌ לא יכולים: לשלוח מיילים בשמך

❌ לא יכולים: למחוק או להעביר מיילים

❌ לא יכולים: לשנות תוויות / תיקיות

❌ לא יכולים: לגשת לאנשי קשר / יומן / Drive

❌ לא יכולים: לקרוא מיילים שאין בהם חשבונית

גוגל אוכפת את ההרשאה הזו ברמת ה-API. גם אם היינו רוצים לחרוג — לא היינו יכולים.

2. מה אנחנו קוראים

המערכת סורקת בלבד מיילים שעומדים באחד מהקריטריונים:

יש קובץ PDF / תמונה מצורפים
הנושא כולל: חשבונית, קבלה, invoice, receipt, חיוב, billing, payment
השולח מזוהה כספק ידוע (סלקום, קבוצת שלמה, וכו')

מיילים אישיים, שיחות, התראות, עדכוני מערכת — לא נקראים, לא נשמרים, לא נבדקים.

3. מה אנחנו שומרים

📎 קובץ החשבונית (PDF/JPG/PNG) — ב-Cloudflare R2, מוצפן

📊 שדות מחולצים — ספק, סכום, תאריך, מע"מ, מס' חשבונית

🔗 טוקן Gmail מוצפן — כדי שהסריקה תוכל לרוץ שבועית

🕐 לוג ביקורת — מי ומתי ערך/צפה בחשבונית

לא שומרים: גוף מיילים שלא קשורים, אנשי קשר, תמונות אישיות, היסטוריית חיפוש.

4. איפה הדאטה יושבת

Cloudflare — תשתית ענן Tier-1 עם שרתים באירופה (תואם GDPR)
מוצפן בזמן מנוחה (AES-256 at-rest encryption)
מוצפן בזמן העברה (TLS 1.3 על כל תעבורה)
בידוד מלא בין לקוחות — כל שאילתה מוגבלת ל-client_id של המשתמש

5. ערוצי קליטה — והפרטיות בכל אחד

ה-InvoiceBot תומך במספר ערוצים לקליטת חשבוניות. בכולם המידע הרגיש (סכומים, ספקים, מספרי הקצאה) נשמר רק בשרתי ה-InvoiceBot. הפרטים:

📧 מייל ייעודי — `inbox-XXXXXXXX@invoicebot.alegend.co`

לכל לקוח כתובת ייחודית. הפנה אליה מיילים עם חשבוניות. ה-Email Worker של Cloudflare מטפל בקבלה, מחלץ צרופות, ומעלה ל-R2 — ללא צד שלישי. גוף המייל המקורי נשמר רק לצרכי dedup ולא נחשף ב-UI.

✉️ סנכרון Gmail (OAuth קריאה בלבד)

כפי שמתואר בסעיף 1: scope gmail.readonly, סורק רק מיילים שנראים כחשבוניות. ניתוק בקליק — בכל רגע.

📲 בוט טלגרם — מינימום residency

הבוט הוא אחת הדרכים לשלוח חשבוניות, לא הדרך היחידה. למי שמשתמש בו, ה-flow תוכנן עם הגנה אקטיבית על פרטיות:

ההודעה המקורית בטלגרם נמחקת אוטומטית ברגע שהקובץ הגיע ל-R2 שלנו (deleteMessage). חלון השהייה: שניות בודדות.
אין הצגת נתונים רגישים בצ'אט. הבוט מחזיר רק "✅ קיבלתי" ולינק ל-InvoiceBot. סכומי כסף, ספקים ומספרי הקצאה לא חוזרים בטקסט.
חיבור חד-פעמי: טוקן עם תוקף 10 דקות, חודר רק פעם אחת. לא מתועד בטלגרם — נוצר ב-InvoiceBot.
Webhook מאומת: Telegram secret_token נדרש בכל בקשת webhook.
ניתוק מיידי: פקודת /unlink בבוט או "נתק" בערוצים — מסיר את ה-Telegram User ID מיד.

ה-architecture הזה הוא תגובה לחשש המוצדק שיש לעסקים — אם אתה לא רוצה שום חלון residency בטלגרם, השתמש במייל הייעודי.

💬 WhatsApp Business / 📸 מצלמת מובייל

WhatsApp עובד דרך Meta WhatsApp Business API (חיבור ספק רשמי). מצלמת מובייל — הקובץ עולה ישירות ל-API שלנו, ללא ענן ביניים.

6. זכויותיך (GDPR + חוק הגנת הפרטיות הישראלי)

✅ ניתוק Gmail — בכל רגע

בפורטל → הגדרות → "נתק Gmail". או ישירות אצל גוגל: myaccount.google.com/permissions

📤 ייצוא כל הנתונים

בפורטל → הגדרות → "ייצא הכל". תקבל ZIP עם כל החשבוניות, CSV, וכל מה שיש לנו עליך.

🗑️ מחיקת חשבון

בפורטל → הגדרות → "מחק חשבון". כל החשבוניות, הקבצים, הטוקנים, והפרופיל נמחקים תוך 24 שעות. לא ניתן לשחזור.

7. שיתוף עם צד שלישי

אנחנו לא מוכרים ולא מעבירים נתונים לצדדים שלישיים למטרות שיווק. חריגים:

OCR (Mindee) — קובץ PDF בודד נשלח ל-Mindee לחילוץ שדות. לא נשמר אצלם. Opt-in בלבד.
רואה החשבון שלך — רק אם אתה מזמין אותו דרך "שיתוף" או שולח לו ZIP ידנית.
דרישת חוק — צו בית משפט ישראלי או זר. נודיע לך בטרם שיתוף (אם החוק מאפשר).

8. אבטחה ושמירה

טוקני Gmail מוצפנים עם מפתח נפרד (AES-256-GCM)
Rate limiting על כל endpoint כדי למנוע abuse
Audit log מלא של כל פעולת כתיבה (מי, מה, מתי)
Session tokens מסתובבים כל 30 יום
מחיקה רכה (Soft delete): חשבונית שמחקת נכנסת ל-30 יום הקפאה (אפשר לבטל). אחרי 30 יום — מחיקה קשה, כולל הקובץ ב-R2.
שמירה לפי דרישת רשות המסים: 7 שנים לפחות לחשבוניות (אנחנו לא יכולים למחוק לפני, גם אם תבקש).
הצפנה ברמת אובייקט: כל קובץ R2 מוצפן בנפרד; אין מפתח מאסטר אחד.

9. יצירת קשר

שאלות, בקשות פרטיות, או דיווח על תקלת אבטחה:

📧 idanbs89@gmail.com