מידע נוסף
Mekusheret

אבטחת מידע

כיצד מקושרת מגנה על פרטי הגישה שלכם ל-Morning ועל המידע שלכם.

עודכן לאחרונה: 9 ביולי 2026

1. אחסון פרטי גישה

פרטי ה-API של Morning שלכם (מזהה מפתח וסוד) נשמרים בצד השרת בלבד, מוצפנים ב-SecureStorage של monday, המגובה ב-Vault, תחת namespace נפרד לכל חשבון בצורה gi_creds:<accountId>. הסוד לעולם אינו מגיע לדפדפן — מסכי האפליקציה מקבלים אך ורק ערך בוליאני ("האם הוגדרו פרטי גישה?") ומזהה מפתח ממוסך המציג את 4 הספרות האחרונות. אסימון ה-Bearer של Morning נשמר בזיכרון השרת עד לפקיעתו ולעולם אינו נשמר בקביעות או נשלח לדפדפן. רק תהליך השרת קורא את פרטי הגישה בזמן ריצה, בהפרדה לכל חשבון.

2. אבטחת תעבורה

כל התקשורת מתבצעת באמצעות HTTPS/TLS.

3. אבטחת סשן

הסשנים משתמשים באסימון הסשן של monday (JWT) הנשלח ב-header מסוג Authorization: Bearer — האפליקציה אינה משתמשת בעוגיות כלל. זרימת ה-OAuth מוגנת מפני CSRF באמצעות אסימון state חתום וקצר-מועד (JWT).

4. צמצום מידע

האפליקציה קוראת אך ורק את המידע הדרוש להפקת מסמך, בהתאם למיפוי העמודות שלכם. פרטי הלקוח האישיים מועברים ל-Morning לצורך יצירת המסמך אך אינם נשמרים בשרתי האפליקציה. פנקס החשבוניות נמצא בחשבון ה-monday.com שלכם עצמו (monday.storage), ולא בשלנו.

5. היגיינת לוגים

הלוגים נכתבים אך ורק לקונסולת monday Code (אין שירות לוגים חיצוני). הם מכילים מזהים תפעוליים — מזהי חשבון, מזהי פריטים, מזהי ומספרי חשבוניות, סכומים, מטבעות, וסטטוס תשלום — לצד הודעות שגיאה. הם לעולם אינם מכילים שמות לקוחות, כתובות אימייל, מספרי טלפון, סודות או אסימונים גולמיים.

6. גילוי כן: מחיקה בעת הסרה

למען השקיפות: האפליקציה עדיין אינה מוחקת אוטומטית את פרטי הגישה שלכם ל-Morning כאשר אתם מסירים אותה — כרגע אין מנגנון webhook לטיפול בהסרה. עד שיוטמע, כתבו לכתובת support@mekusheret.app כדי שנמחק את פרטי הגישה שלכם. אנו עובדים באופן פעיל על מחיקה אוטומטית.

7. דיווח אחראי על פרצות

אם אתם סבורים שמצאתם בעיית אבטחה ב-מקושרת, אנא כתבו לכתובת support@mekusheret.app כדי שנוכל לחקור ולתקן אותה במהירות. אנו מעריכים דיווח אחראי ונפעל בתום לב לפתרון דיווחים לגיטימיים.