esek.io מופעל על ידי Esek, ספק טכנולוגי (Tech Provider) של Meta. אנו בונים על גבי WhatsApp Business Platform הרשמי (Cloud API) ועל Meta Marketing API בשם העסקים המשתמשים בשירות שלנו.
whatsapp_business_management, whatsapp_business_messaging — משמשות לניהול חשבונות ה-WABA של הסוחרים, מספרי טלפון, תבניות הודעה, ולשליחה וקבלה של הודעות בשם הסוחר.ads_management, ads_read, business_management, pages_show_list — משמשות ליצירה, ניהול ודיווח על מודעות Meta (כולל click-to-WhatsApp) עבור חשבונות הפרסום והדפים של הסוחר עצמו.למה אנחנו מצייתים
כל פעולה של סוחר שאנו מבצעים דרך ממשקי ה-API של Meta כפופה למדיניות Meta המפורטת להלן. כאשר מעורב תוכן של הסוחר (הודעות, מודעות, קטלוגים), הסוחר הוא המפרסם ואחראי על מה שהוא שולח; esek.io אוכף את מדיניות הפלטפורמה ומסרב להעביר תוכן המפר אותה.
- Meta Platform Terms ו-Developer Policies
- WhatsApp Business Solution Terms
- WhatsApp Business Messaging Policy
- WhatsApp Commerce Policy
- Meta Advertising Standards ו-Community Standards
- חוקי הגנת מידע רלוונטיים (GDPR / חוק הגנת הפרטיות הישראלי). ראו את מדיניות הפרטיות שלנו.
ציות בהודעות WhatsApp
הסכמה מראש (Opt-in)
הסוחרים חייבים לקבל הסכמה מפורשת לפני שליחת כל הודעה היזומה על ידי העסק. אנו דורשים מהסוחרים להצהיר על מקור ההסכמה ולשמור הוכחה לכך. תבניות מוגשות ל-Meta לבדיקה; איננו עוקפים את אישור התבניות.
חלון שירות הלקוחות
מחוץ לחלון שירות הלקוחות בן 24 השעות, ניתן לשלוח רק תבניות מאושרות בקטגוריות התבנית הרלוונטיות (utility, authentication, marketing). תבניות שיווקיות מצייתות לתקרות תדירות לכל נמען ולשעות שקט.
ביטול הסכמה (Opt-out)
כל שיחות השיווק מכבדות מילות מפתח לביטול הסכמה (STOP / UNSUBSCRIBE ומקבילות מקומיות). ביטול ההסכמה נרשם ונאכף על פני ה-WABA של הסוחר — נמען שביטל את הסכמתו לא יוכל להיות מוסף מחדש באמצעות ייבוא.
שימושים אסורים
איננו מאפשרים, וההנחיות לסוכן הצ'אט שלנו מסרבות, תוכן המפר את WhatsApp Commerce Policy (כלי נשק, סמים, מוצרים למבוגרים, הימורים בכסף אמיתי וכד') או שמטרגט משתמשי WhatsApp בהודעות המוניות לא מבוקשות. חשד לשימוש לרעה מוביל להשעיה בכפוף לבדיקה.
ציות במודעות וב-Marketing API
- מודעות נוצרות מול חשבון הפרסום של הסוחר עצמו; החיוב והבעלות נשארים אצל הסוחר.
- קריאייטיב וטרגוט חייבים להתאים ל-Meta Advertising Standards. קטגוריות פרסום מיוחדות (אשראי, תעסוקה, דיור, נושאים חברתיים) מסומנות ודורשות מהסוחר לאשר את הקטגוריה לפני ההשקה.
- איננו מייצרים מודעות המרמזות על מאפיינים אישיים של הצופה, מבצעות scrape של נתוני Meta, או עוקפות את הבדיקה של Meta.
- קהלים שנבנים מנתוני צד ראשון של הסוחר דורשים בסיס חוקי מתועד ומצייתים לתנאי Custom Audiences של Meta.
טיפול בנתונים
מה אנחנו אוספים, איך אנו משתמשים בכך, והבסיסים החוקיים מתוארים במדיניות הפרטיות. נקודות עיקריות הרלוונטיות לציות לפלטפורמה:
- נתוני סוחר (חשבון, חיוב, אסימוני OAuth) — מעובדים לצורך מתן השירות.
- נתוני משתמש קצה (הודעות WhatsApp, מספרי טלפון, מעורבות במודעות) — מעובדים בשם הסוחר כמעבד נתונים; הסוחר הוא הבקר.
- הצפנה — TLS 1.2+ במעבר; AES-256 במנוחה. אסימונים ואישורים נשמרים מוצפנים עם גישה מוגבלת.
- שמירת נתונים — נתונים תפעוליים נשמרים רק כל עוד הם נדרשים למתן השירות ולעמידה בחובות חוקיות. מחיקת חשבון מתועדת בעמוד מחיקת נתונים.
- מעבדי משנה — Meta (WhatsApp / Marketing API), ספק הענן שלנו, ומעבדי הנהלת חשבונות/תשלומים. הרשימה זמינה לבקשה.
- העברות חוצות גבולות — מכוסות על ידי Standard Contractual Clauses (SCC) כאשר רלוונטי.
אבטחה ובקרות גישה
- גישה מבוססת תפקידים; גישה לסביבת ייצור מוגבלת למספר קטן של מהנדסים, עם ביקורת.
- סודות נשמרים במאגר סודות מנוהל; אין אישורים בקוד המקור.
- Webhooks חתומים ומאומתים; מפתחות אידמפוטנטיות בכל הכתיבות החיצוניות.
- הלוגים אינם כוללים תוכן הודעות או מידע מזהה (PII) — מזהים ומטה-דאטה בלבד.
- בדיקות חדירה וסריקת תלויות במחזוריות קבועה.
תגובה לאירועי אבטחה
אירועי אבטחה מטופלים בהקדם עם זיהויים. אם אירוע משפיע על נתונים אישיים של סוחר או של משתמש קצה, נודיע לסוחרים המושפעים ללא דיחוי בלתי סביר ובמסגרת הזמנים הנדרשים בדין החל (למשל 72 שעות תחת GDPR), עם המידע הנדרש להם כדי לעמוד בחובות ההודעה שלהם.
דיווח על שימוש לרעה או חשש מדיניות
אם נראה לכם שהודעה או מודעה שנשלחו דרך esek.io מפרות את מדיניות Meta או WhatsApp, או שאתם רוצים לדווח על חשד לשימוש לרעה בפלטפורמה שלנו:
- שלחו אימייל ל-compliance@esek.io עם הנושא Policy concern.
- צרפו את הודעת ה-WhatsApp (צילום מסך או מספר השולח) או את מזהה המודעה / הקישור, ותיאור קצר.
- אנו מאשרים קבלת דיווחים בתוך 2 ימי עסקים ופועלים על הפרות מאומתות במהירות.
מפת דרכים ל-GDPR — מה קיים ומה מתוכנן
esek.io נמצא לפני השקה. להלן סטטוס כן של עמדת ה-GDPR שלנו כדי שלקוחות, מבקרים ועוזרי ה-AI שלנו יוכלו לענות בדיוק.
קיים היום
- מדיניות פרטיות, תהליך מחיקת נתונים, וחלונות שמירה.
- מודל מעבד: הסוחר הוא בקר נתוני משתמש הקצה, ו-esek.io הוא המעבד.
- הצפנה במעבר (TLS 1.2+) ובמנוחה (AES-256); גישה במינימום הרשאות; ללא תוכן הודעות או PII בלוגים.
- אכיפת הסכמה וביטול הסכמה ב-WhatsApp ומשמעת אישור תבניות.
מתוכנן, טרם נפרס
- הסכם עיבוד נתונים (DPA) שיוצג ויאושר בהרשמה (סעיף 28).
- רשימה ציבורית של מעבדי משנה עם שמות, מיקומים וערוץ הודעות על שינויים (סעיף 28(2)).
- אחסון נתונים באיחוד האירופי — סביבת הייצור הנוכחית מאוחסנת בארה"ב תחת SCC; מעבר לאזור באיחוד האירופי (מתוכנן לפני לקוח Enterprise אירופי ראשון).
- נציג באיחוד האירופי ימונה ויפורסם בהתאם לסעיף 27.
- באנר הסכמה לעוגיות / אנליטיקה למבקרים מהאיחוד האירופי לפני טעינת סקריפט אנליטיקה כלשהו.
- מסמך רישומי עיבוד (RoPA) (סעיף 30) ו-DPIA לקבלת החלטות אוטומטית של סוכן הצ'אט ויצירת קהלי פרסום (סעיף 35).
- קליטה רשמית של בקשות נושא מידע עם מעקב SLA לבקשות גישה, תיקון, ניידות והתנגדות (סעיפים 15, 16, 20, 21).
- Runbook מתועד לתגובה לאירועי אבטחה עם רוטציית כוננות ורשימת הודעות לסוחרים.
אם אתם בוחנים את esek.io לפריסה באיחוד האירופי וצריכים אחד מהפריטים הנ"ל היום, פנו ל-compliance@esek.io — נעדיף פריטים הנדרשים להתקשרות שלכם.
יצירת קשר
- ציות ושימוש לרעה: compliance@esek.io
- פרטיות ובקשות נתונים: privacy@esek.io
- כללי: hello@esek.io