תנאי הפרטיות של המפרסמים

Last Update: November 14, 2025

תאריך כניסה לתוקף: 14 באוגוסט 2023

תנאי פרטיות אלה של Taboola Advertiser (“תנאי פרטיות המפרסמים“) חלים על שירותי הפרסום הדיגיטלי של Taboola, כגון כאשר Taboola מפיץ תוכן של Advertiser דרך פלטפורמת ההפצה שלה, בהתאם להסכם בין Taboola למפרסמים (“הסכם“), ותנאי פרטיות אלה של Advertiser ייחשבו משולבים, ויוצרים חלק בלתי נפרד, מכל הסכם כזה.  תנאים אלה לפרטיות המפרסמים מזהים את התפקידים והאחריות של Taboola והמפרסמים ביחס לנתונים אישיים.

במקרה של סכסוך בין תנאי הפרטיות של המפרסמים והסכם, תנאי הפרטיות של המפרסמים יחולו במידת הסכסוך, אלא אם כן ההוראה המנוגדת בהסכם מתייחסת באופן מפורש להוראה המנוגדת של תנאי הפרטיות של המפרסמים אלה ומציין כי היא עדיפה על ההוראה המנוגדת.

למונחים המוגדרים בסעיף זה יש את המשמעות המתוארת להלן, ומונחים קוגנים יש לפרש בהתאם. למונחים המשמשים אך לא מוגדרים בתנאי פרטיות המפרסמים יש את המשמעות המוגדרת בהסכם.

      1. “חוקי הגנת נתונים החלים” פירושו כל חוקי הפרטיות והגנת הנתונים הפדרליים, הלאומיים, המדיניים או אחרים החלים על עיבוד שהוא הנושא של ההסכם וההגנה על נתונים, כפי שניתן לשנות או להחליף מעת לעת.
      2. נתונים שנאספו” פירושו הנתונים האישיים שכל צד אוסף מאנשי הנתונים על או באמצעות השרתים או הרשתות שלהם (כולל כל נתונים שנאספו באופן פסיבי או ניתן לקריאה מכונה, כגון נתונים המבוססים על סוג דפדפן וזיהוי מכשיר) בקשר לספק או לקבלת השירותים.
      3. מעבד” פירושו: (i) ישות אשר קובעת את המטרות ואת האמצעים של עיבוד נתונים אישיים, ו (ii) כל אדם הנמצא תחת תחום המונח “מעבד” (או כל מונח דומה באופן משמעותי) כפי שהוגדר בחוקי הגנת הנתונים החלים.
      4. “חוק הפרטיות של קליפורניה” פירושו חוק פרטיות הצרכן של קליפורניה משנת 2018, קאל. קוד האזרחי § 1798.100 et seq. (“CCPA“), כפי שתוקן (כולל חוק זכויות הפרטיות של קליפורניה), וכל חקיקה משולבת ותקנות יישום.
      5. נושא נתונים” פירושו: (i) אדם טבעי מזוהה או מזוהה (וגם, למטרות אלה, אדם טבעי מזוהה הוא אדם שניתן לזהות, ישירות או עקיפה, ובמיוחד על ידי התייחסות לזהות כגון שם, מספר זיהוי, נתוני מיקום, מזהה מקוון או אחד או יותר גורמים ספציפיים לזהות הפיזית, הפיזיולוגית, הגנטית, הנפשית, הכלכלית, התרבותית או החברתית של אותו אדם טבעי), ו (ii) כל אדם הנכנס לתחום המונח “נושא נתונים”, “צרכן” (או כל מונח דומה באופן משמעותי) כפי שמוגדר בחוקי הגנת נתונים.
      6. חוק האיחוד האירופי להגנת נתונים” פירושו: (i) תקנה הכללית של האיחוד האירופי להגנת נתונים (תקנה 2016/679) (“EU GDPR“); (ii) תקנה האיחוד האירופי לפרטיות אלקטרונית (Directive 2002/58/EC); ו (iii) כל חוקי הגנת נתונים לאומיים שנעשו על פי או על פי (i) או (ii), כל אחד מהם עשוי להשתנות או להחליף מעת לעת.
      7. מטרות מורשות” יש את המשמעות שניתנה בסעיף 3.
      8. נתונים אישיים” כל מידע הנוגע לנושא נתונים (כולל, כאשר נדרש על פי חוק הגנת הנתונים הרלוונטי, מזהה דפדפן או מכשיר ייחודי), כפי שמפורסם בחלק B של Annex A.
      9. עיבוד” פירושו כל פעולה או קבוצה של פעולות המבוצעות על נתונים אישיים או על מערכות נתונים אישיים, בין אם באמצעות אמצעים אוטומטיים, כגון איסוף, קבלה, רישום, ארגון, מבנה, שימוש, העברה, גישה, שיתוף, גילוי, העברה, אחסון, התאמה או שינוי, חיפוש, ייעוץ, הפצה או שידור אחר, התאמה או שילוב, סיווג, מושתתת, ניתוח, הגבלה, מחיקה, הרס או עיבוד אחר של נתונים אישיים, כולל איך המונח הזה מוגדר בחוק הגנת נתונים.
      10. מעבד” פירושו: (i) ישות המעבדת נתונים אישיים בשם מעבד, ו (ii) כל אדם הנמצא תחת תחום המונח “מעבד” (או כל מונח דומה באופן משמעותי) כפי שמוגדר בחוקי הגנת הנתונים החלים.
      11. עברה מוגבלת” פירושה: (i) כאשר GDPR של האיחוד האירופי חל, העברה של נתונים אישיים מהאזור האירופי למדינה מחוץ לאזור האירופי שאינה כפופה להחלטה של מספקת על ידי הנציבות האירופית (“עברה מוגבלת של האיחוד האירופי“); ו (ii) כאשר GDPR של בריטניה חל, העברה של נתונים אישיים מהממלכה המאוחדת לכל מדינה אחרת שאינה כפופה או מבוססת על תקנות מספקת על פי סעיף 17A של חוק הגנת הנתונים של בריטניה 2018 (“עברה מוגבלת של בריטניה“).
      12. מכירה” ו”מכירה” פירושו החלפת נתונים אישיים עבור תשלום כספי או ערך אחר, והם כוללים את האופן שבו מונחים כאלה מוגדרים בחוק הגנת הנתונים החלים.
      13. שירותים” פירושו שירותים שסופקו על ידי Taboola במסגרת ההסכם עם המפרסמים.
      14. תקרית אבטחה” פירושה הפרה של אבטחה המובילה להשמדה, אובדן, שינוי, גילוי לא מורשה של נתונים אישיים או גישה לא חוקית אליהם.
      15. “תנאי חוזה סטנדרטיים” פירושו: (i) כאשר GDPR של האיחוד האירופי חל, התנאים החושיים המצורפים להחלטת יישום 2021/914 של הנציבות האירופית, של 4 ביוני 2021, בנוגע לתנאים חושיים סטנדרטיים להעברת נתונים אישיים למדינות שלישיות על פי תקנה (EU) 2016/679 של הפרלמנט האירופי והמועצה (“SCC של האיחוד האירופי“); ו (ii) כאשר GDPR של בריטניה חל, “תוספת להעברת נתונים בינלאומית לתנאים חושיים סטנדרטיים של הנציב לאיחוד האירופי” שפורסם על פי סעיף 119A(1) של DPA 2018 (“תוספת בריטניה“).
      16. צד שלישי” פירושו עסק המפעיל את תפקידו של הבקר לגבי נתונים אישיים, וזה לא העסק שהנושא שבו נתונים אישיים מעובדים איתו אינטראקציה מכוונת; המונח כולל את האופן שבו המונח הזה מוגדר בחוק הגנת הנתונים החלים.
      17. “חוק הגנת הנתונים של בריטניה” פירושו: (i) חוק הגנת הנתונים של בריטניה 2018, (ii) GDPR של בריטניה (כפי שהוגדר בסעיף 3(10) של חוק הגנת הנתונים של בריטניה 2018) (“GDPR של בריטניה“), (iii) תקנות הפרטיות והתקשורת האלקטרונית של בריטניה (הנחיה EC) של 2003), ו (iv) כל חוק אחר של בריטניה שנעשה על פי או על פי (i), (ii) או (iii), כל אחד מהם עשוי להשתנות או להחליף מעת לעת.

כל צד ישתמש בנתונים שנאספו שהוא אוסף או מקבל מהצד השני למטרות שנקבעו בחלק B של Annex A (“מטרות מורשות“).  המפרסמים מסכימים כי Taboola תעבד את הנתונים שנאספו בהתאם למדיניות הפרטיות של Taboola (שהיא, למניעת ספק, תהיה גם מטרה מורשית עבור Taboola).

במידה שהנתונים שנאספו נחשבים לנתונים אישיים או מכילים אותם בהתאם לחוקי הגנת הנתונים הרלוונטיים, כל צד יטפל בנתונים שנאספו שהוא אוסף או מקבל מהצד השני בתור מנהל הבקרה (כלומר, כאשר חוק פרטיות קליפורניה חל, בתור צד שלישי, במידת הצורך).  גילוי (בין אם העברה, או באמצעות צד שמספק נתונים לצד השני) של נתונים שנאספו או נתונים אישיים מצד אחד לצד השני הם גילוי לצדדים שלישיים.

      1. אם חוק הגנת הנתונים של ארצות הברית או מדינת ארה”ב יחול על נתונים שנאספו, כולל ללא הגבלה חוק הפרטיות של קליפורניה, במידה ש-Realize Pixels (קודם בשם “Taboola Pixels”) משמש בקשר עם תהליך השירותים נתונים אישיים על מבקר, Taboola פועלת כצד שלישי למפרסמים עבור נתונים אישיים כאלה. Taboola תעבד נתונים אישיים כאלה למטרות המותרות. נתונים אישיים כאלה ניתנים ל-Taboola רק למטרות המותרות.  Taboola תספק את אותה רמת ההגנה על הפרטיות הדורשת לעסקים על פי חוקי הגנת הנתונים החלים בארה”ב, לרבות חוקי הפרטיות של קליפורניה. Taboola תודיע למפרסמים בתקופת הזמן הנדרשת על פי חוק הגנת הנתונים הרלוונטי אם Taboola קובעת כי היא אינה מסוגלת עוד למלא את התחייבויותיה לפי חוקי הגנת הנתונים הרלוונטיים. לאחר מסירת הודעה ל-Taboola, למפרסמים יש את הזכות לנקוט בצעדים סבירים ונכונים כדי לעצור ולתקן שימוש לא מורשה בנתונים אישיים שהם מעניקים ל-Taboola.

הצדדים מכירים בכך שחלק או כל הנתונים שנאספו עשויים להיקבע כנתונים אישיים או לכלול אותם, ולכן חוקי הגנת הנתונים החלים עשויים לחול על עיבוד הנתונים שנאספו על ידי כל צד.  במקרים כאלה, ובנוגע לסעיף 7, כל צד יהיה אחראי באופן אישי לצייתו לחוקי הגנת הנתונים הרלוונטיים, כולל כל דרישה רלוונטית כדי: (i) לספק שקיפות לבעלי הנתונים, (ii) לקבל הסכמה או בסיס חוקי אחר לעיבוד, ו (iii) לספק נקודת קשר באמצעותה נושאים נתונים יכולים לממש את זכויות הגנת הנתונים שלהם.

במקרה שאחד הצדדים מבצע העברה מוגבלת של נתונים שנאספו לצד השני, יחולו הוראות סעיף C.

Taboola משתמשת ב-Realize Pixels כדי לספק את השירותים.  על אף סעיף 5, במידה ש-Taboola אוספת נתונים נאספים מתכונות דיגיטליות של מפרסמים (כגון אתרים, יישומים ניידים או באופן אחר) באמצעות פיקסלים של Realize, המפרסמים: (i) מספקים לנושאים נתונים כל הודעת שקיפות נדרשת בנוגע לשימוש של Taboola ב-Realize Pixels כדי לאסוף נתונים נאספים ממכונות דיגיטליות של מפרסמים למטרות המותרות, ו- (ii) מקבלים (וגם, על פי בקשה של Taboola, מספקים בכל עת הוכחה מתאימה ל) הסכמת נושא הנתונים לשימוש כזה ב-Realize Pixels למטרות המותרות, בכל מקרה בהתאם לדרישות של חוקי הגנת נתונים החלים.  חובות המפרסמים בהקשר זה כוללות זיהוי של Taboola והשימוש שלה ב-Realize Pixels למטרות המותרות באופן מפורש בהודעות השקיפות וההסכמה שהמפרסמים מבקשים לספק לנושא הנתונים, כמו גם כל מידע אחר הנדרש על פי חוקי הגנת הנתונים החלים, כך ש-Taboola תוכל לספק את השירותים שלה באופן חוקי באמצעות תכונות דיגיטליות כאלה ולעבד את הנתונים שנאספו ונתונים אישיים למטרות המותרות.  על פי בקשה בכתב, Taboola תספק למפרסמים את המידע הנדרש בנוגע ל-Realize Pixels ולעבודת הנתונים שנאספו על ידי Taboola באמצעות הנכסים הדיגיטליים של המפרסמים למפרסמים כדי להבטיח כי מנגנוני ההודעה וההסכמה שלה יעמדו בקנה אחד עם חוקי הגנת הנתונים החלים.  המפרסמים לא ישחררו פיקסלים של Realize אלא אם כן הוגשו כל שקיפות הכרחית וקיבלו את כל ההסכמים הדרושים לפי חוקי הגנת הנתונים החלים. המפרסמים ימסרו גם לנושא הנתונים מידע על האופן שבו הם עשויים לממש את זכויותיהם להגנת הנתונים על פי חוקי הגנת הנתונים הרלוונטיים, ויספקו נקודת קשר כדי שנושא הנתונים יוכל ליצור קשר כדי לממש את זכויותיהם. המפרסמים יודיעו באופן מיידי ל-Taboola אם ובמידה שהיא מקבלת בקשה כלשהי לזכויות הגנת נתונים הקשורות לעיבוד הנתונים שנאספו על ידי Taboola בתור מנהל, כדי ש-Taboola תוכל למלא את הבקשה בהתאם לחובותיה לפי חוק הגנת הנתונים החלים.

אם Taboola, על פי בקשתו של המפרסמים, מעבירה נתונים אישיים לשותף ההשוואה של המפרסמים או למפרסמים למטרות ההשוואה, המפרסמים מצהירים ומבטיחים כי: (i) שותף ההשוואה שלה הוא מעבד בשם המפרסמים; (ii) אלא אם כן נאספו באופן עצמאי, המפרסמים ושותפי ההשוואה ישתמשו בנתונים אישיים אלה אך ורק למטרות ההשוואה; ו (iii) שותף ההשוואה והמפרסמים ימחקו את כל הנתונים האישיים שהועברו תוך שלושים (30) ימים ממועד זיהויו האחרון של המבקר כמגיע מ-Taboola.

כל צד יישם אמצעי אבטחה טכניים וארגוניים מתאימים כדי להגן על הנתונים שנאספו ו/או הנתונים האישיים שהוא מעבד מפני אירוע אבטחה.  אמצעים אלה כוללים את אמצעים המפורטים בהסכם ב’.

אם כל צד נתקל בהתרסקות אבטחה בנוגע לנתונים שנאספו ו/או לנתונים אישיים שהוא מעבד והיא הנושא של ההסכם ושל תנאי פרטיות המפרסמים האלה, הצד הזה: (i) אחראי למלא (על חשבון עצמו) את כל התחייבויות הדיווח החלים עליו על פי חוקי הגנת הנתונים החלים לרשויות להגנת הנתונים ו/או נושאי הנתונים המושפעים, (ii) מודיע לצד השני ללא עיכוב בלתי הוגן, ומספק את כל המידע על התרחשות האבטחה, ללא עיכוב בלתי הוגן, כפי שמתאים על ידי הצד השני או כפי שנדרש על ידי הצד השני כדי לקבוע אם הוא עשוי גם להיות מחויב לדווח על התרחשות של התרחשות האבטחה על פי חוקי הגנת הנתונים החלים.

במידה ובהיקף שנדרש על פי חוקי הגנת הנתונים הרלוונטיים של כל צד, כל צד יבצע הערכת השפעה על הגנת הנתונים בנוגע לעיבוד הנתונים שנאספו ו/או הנתונים האישיים שלו למטרות המותרות ו/או ייעוץ עם רשויות הגנת הנתונים הרלוונטיות, במידת הצורך.  כל צד יספק את כל שיתוף הפעולה והמידע הנדרשים באופן סביר על ידי הצד השני, כאשר הדבר נחוץ כדי לאפשר לצד השני להשלים הערכת השפעה על הגנת הנתונים ו/או להתייעץ עם רשויות הגנת הנתונים הרלוונטיות בהתאם לחובותיו של הצד השני לפי סעיף 11.

 

א. רשימת הצדדים

כל צד יהיה:

      • מנהל הנתונים (ואייצוא הנתונים) של הנתונים האוספים שהוא חושף, או עושה זמין, לצד השני, וכן
      • מנהל נתונים (ויבואן נתונים) של נתונים שנאספו שהוא מקבל מהצד השני, או אליהם ניתן גישה על ידי הצד השני.

הפרטים של כל צד מוצגים למטה.

שם: ראה פרטים של המפרסמים המפורטים בהסכם.

כתובת: ראה פרטי המפרסמים המפורטים בהסכם.

שם, עמדה ופרטים של איש הקשר: ראו פרטים של המפרסמים המפורטים בהסכם או בהסכמה אחרת בין הצדדים בכתב.

פעילויות הקשורות לנתונים המועברים בהתאם לסעיפים אלה: הקבלה של השירותים, כמתואר בהסכם.

חתימה ותאריך: סעיף א זה ייחשב כאמור לאחר קבלת הפרטיות של המפרסמים.

תפקיד (Controller / Processor): הבקר (אם הוא יצואן נתונים) והבקר (אם הוא מייבא נתונים)

 

שם: ראו את הפרטים של Taboola המופיעים בהקדמת ההסכם.

כתובת: ראו את הפרטים של Taboola המופיעים בהקדמת ההסכם.

שם, עמדה ופרטים של איש הקשר: צוות הפרטיות של Taboola, privacy@taboola.com.

פעילויות הקשורות לנתונים המועברים בהתאם לסעיפים אלה: הספק של השירותים, כמתואר בהסכם.

חתימה ותאריך: סעיף A זה ייחשב כאמור לאחר קבלת Taboola של תנאי פרטיות המפרסמים האלה.

תפקיד (Controller / Processor): הבקר (אם הוא יצואן נתונים) והבקר (אם הוא מייבא נתונים)

 

B. תיאור העיבוד והעברה

קטגוריות של נושאים נתונים אשר הנתונים האישיים שלהם מעובדים ו / או מועברים: משתמשים

קטגוריות של נתונים אישיים מעובדים ו/או מועברים:

נתוני מכשיר: מערכת הפעלה, סוג הדפדפן, גירסת הדפדפן, כתובת ה-IP (נחתך תוך 30 יום) של איסוף, קוד דואר (מוצא מהכתובת ה-IP), מזהה משתמש של Taboola, הודעות דואר אלקטרוני משותפות, ביקורים ראשוניים ואחרים בדפים באתר של המפרסמים, מין המשתמש (מוצא על פי תחומי עניין), אותות מעורבות (זמן באתר, עומק הגלישה, עומק הפגישה), נתוני המרה.

נתונים על רכוש דיגיטלי שביקר המשתמש: כתובת ה-URL של הדף שנבקר, האתר המפנה

נתונים רגישים המועברים (אם יש) והגבלות או אמצעי הגנה המשמשים בהתחשב במלואם באופי הנתונים והסיכונים המעורבים בהם, כגון הגבלת מטרה קפדנית, הגבלות גישה (כולל גישה רק לצוות שעבר הכשרה מיוחדת), שמירה על תיעוד גישה לנתונים, הגבלות על העברות נוספות או אמצעי אבטחה נוספים: לא תקף.

תדירות העיבוד ו/או העברות (למשל אם הנתונים מעובדים ו/או מועברים על בסיס חד פעמי או מתמשך): משך כל תקופת ההסכם.

אופי העיבוד: עיבוד נתונים אישיים הכרחיים לספק את השירותים, כמתואר בהסכם.

מטרה(ים) של עיבוד נתונים / העברה ועיבוד נוסף: הספק של השירותים, כמתואר בהסכם. כדי למנוע ספק, המטרות המותרות כוללות: (i) לאחסן ו/או לגשת למידע במכשיר; (ii) לבחור מודעות בסיסיות; (iii) ליצור פרופיל מודעות מותאם אישית; (iv) לבחור מודעות מותאמות אישית; (v) ליצור פרופיל תוכן מותאם אישית; (vi) לבחור תוכן מותאם אישית; (vii) למדוד ביצועי מודעות; (viii) למדוד ביצועי תוכן; (ix) לפתח ולשפר מוצרים; (xv) להבטיח אבטחה, למנוע הונאה ודיבוג; (xi) לספק מודעות או תוכן באופן טכני; (xii) להתאים ולשלב מקורות נתונים לא מקוונים; (xiii) לקשר מכשירים שונים; (xiv) לקבל ולהשתמש בתכונות של מכשירים שנשלחו באופן אוטומטי לזיהוי; (xv) להשתמש במידע מוגבל לבחירת תוכן, ו(vix) להבין קהל באמצעות סטטיסטיקה.

זמן שבו הנתונים האישיים יישמרו, או, אם זה לא אפשרי, הקריטריונים המשמשים לקביעת תקופה זו:

      • טאבולה: הנתונים הגולמיים מאוחסנים למעלה מ-13 חודשים.
      • Advertiser: כל עוד יש צורך לקבל את השירותים או כפי שנקבע אחרת בהסכם.

במקרה של העברות ל(תת-) מעבדים, לציין גם נושא, אופי ותקופת העיבוד: לא תקף.

 

סמכות פיקוח רלוונטית

רשות פיקוח רלוונטית כאשר EU GDPR חל: הרשות המפקחת המתאימה לכל צד היא כמתואר להלן:

      • טאבולה: הרשות המפקחת המוסמכת נקבעת על פי סעיף 13 של ה-EU SCCs.
      • Advertiser: הרשות המפקחת המוסמכת נקבעת על פי סעיף 13 של ה-EU SCCs.

רשות פיקוח רלוונטית כאשר GDPR באנגליה חל: משרד נציב המידע

 

תיאור של האמצעים הטכניים והארגוניים המיושמים על ידי כל צד (כולל כל אישורים רלוונטיים) כדי להבטיח רמה מתאימה של אבטחה, בהתחשב באופי, בהיקף, בהקשר ובמטרה של העיבוד, וכן בסיכונים לזכויות וחירויות של אנשים טבעיים.

אמצעי הפסדונמיזציה והצפנה של נתונים אישיים: Taboola אוספת רק נתונים פסידואימיים, כלומר אנחנו לא יודעים מי אתה כי אנחנו לא יודעים או מעבדים את השם, כתובת הדואר האלקטרוני של המשתמש או נתונים מזהים אחרים. מידע המשתמש שאנו אוספים כולל, אך אינו מוגבל למידע אודות המכשיר והמערכת הפעלה של המשתמש, כתובת ה-IP, הדפים שהמשתמשים נכנסים אליהם באתרי האינטרנט של הלקוחות שלנו, הקישור שהוביל את המשתמש לאתר האינטרנט של הלקוח, התאריכים והזמנים שבהם המשתמש נכנס לאתר האינטרנט של הלקוח ונתוני גלישה באינטרנט אחרים. ה-CookieID הופך אנונימי באמצעות Bcrypt וכתובת ה-IP מקצרת.

אמצעים להבטיח סודיות מתמשכת, שלמות, זמינות ועמידות של מערכות עיבוד ושירותים: Taboola משתמשת ברמות מרובות של אבטחה אלקטרונית (למשל: אבטחת נקודות קצה, אבטחה בצד השרת, מעקב אחר זיהוי, בדיקות חשיפה תקופתיות ואספקה עמוקה של מודיעין כדי לבדוק אירועים לאחר המוות).

אמצעים להבטיח את היכולת לשחזר את הזמינות וגישה לנתונים אישיים בזמן במקרה של תקרית פיזית או טכנית: Taboola מחזיקה 9 מרכזי נתונים הפועלים ברחבי העולם. כל מרכז נתונים משמש ככפיל אחד של השני, כך שאם אחד נופל, ניתן לחלץ את הנתונים ממרכז נתונים אחר.

תהליכים לביצוע בדיקות, הערכה והערכה קבועות של היעילות של אמצעים טכניים וארגוניים על מנת להבטיח את אבטחת העיבוד: Taboola שומרת על תהליכים קפדניים לבדיקת האפקטיביות של השליטה שלה (טכנית וארגונית). יש לנו רישום ומעקב של המערכת במקום, בדיקות DR חודשיות (לפחות), בדיקות penetration רבעוניות, חומת אש שמגנה על האינטרנט ו- honeypots מפוזרים ברחבי הרשת כדי לאתר כל פעילות זדונית. יתר על כן, יש לנו תוכנית תגמול במקום המסייעת לנו לפקח על הרשת שלנו באופן קבוע.

אמצעים לזיהוי משתמש ואישור: כל משתמש ב-Taboola מקושר עם שם משתמש וסיסמה ייעודיים. כל גישה לרשת הפנימית של Taboola נעשית עם 2FA באמצעות אימות Google. משתמשים נוצרים רק על ידי מחלקת ה- IT, במהלך תהליך ההכנסה ורק לאחר קבלת כל הפרטים וחתימת החוזה מחלקת HR.

אמצעים להגנה על נתונים במהלך העברת: Taboola תומכת בכל העברת נתונים באמצעות פרוטוקולי העברה מאובטחים (HTTPS ו- TLS v1.2 לפחות). יתר על כן, מערכות שעלולות להכיל PII מאובטחות ונתונים נשמרים בהשיכה ואנונימיות.

אמצעים להגנה על נתונים במהלך האחסון: נתונים המאוחסנים בבסיסי הנתונים שלנו אנונימיים ומוחזקים באמצעות Bcrypt. גישה ל-DB מוגבלת במינימום ומבוססת על העיקרון של “צורך העסק לדעת”.

אמצעים להבטיח אבטחה פיזית של מקומות בהם נתונים אישיים מעובדים: כל אחד ממרכזי הנתונים הגלובליים של Taboola (בארצות הברית, אירופה ואסיה), יש את כל השרתים שלה ממוקמים בארגזים נעולים שמוחזקים אך ורק לשימוש של Taboola. ארגזים אלה מתוחזקים על ידי חברות אשר או הסמכה SOC2 או Taboola בדק את אמצעי האבטחה שלהם. יתר על כן, כל גישה לשרתים דורשת אישור כתוב, רשום. גם כל משרדי טאבוולה נשלטים, ודורשים מהעובדים להשתמש בכרטיסי גישה בכדי להיכנס. יתר על כן, רק מספר מוגבל של עובדים יש גישה לשרתים של Taboola וכל גישה גם דורשת אישור כתוב, רשום.

אמצעים להבטיח רישום אירועים: Taboola מיישמת כלים מעקב ורישומים נאספים למערכת SIEM שלנו אשר מזהיר אותנו על כל אירוע חשוד וגם להיות מעקב על ידי צוות NOC.

אמצעים להבטיח תצורה של המערכת, כולל תצורה ברירת המחדל: השרתים סורקים גם לרמת דריפט של התצורה וגם לרמת התיקון. דיווח ו / או אזהרה מוגדרים על שניהם ורמת התיקון הרלוונטית מאושרת. פתקים חדשים מופצים באמצעות בובה. כל הביקורות הטכניות מנוהלות באמצעות יישום המחקר והפיתוח והושגו באמצעות תהליך רשמי של סקירה (QA) לאחר הקוד והתהליכים של CI / CD מיושמים גם כן.

אמצעים לניהול וניהול של IT וביטחון IT פנימי: Taboola הוא ISO 27001:2013 ו 27701 מוסמך. ל-Taboola יש מדיניות אבטחת מידע, בה נאמר כי מועצת המנהלים והניהול של Taboola מחויבים לשמור על סודיות, שלמות וזמינות של כל נכסי המידע הפיזיים והאלקטרוניים בכל הארגון שלהם. Taboola מארחת אימונים אבטחה לכל העובדים החדשים, אימונים דיגיטליים לכל העובדים ברחבי העולם, אימונים אבטחה קבועים לכל העובדים וגם מפגשים ייעודיים לקבוצות מחקר ופיתוח.

אמצעי אישור/אבטחה של תהליכים ומוצרים: בדיקה פנימית רביעית / חצי שנתית / שנתית על מספר תהליכים ומערכות כדי לאמת כי Taboola עומדת במטרות האבטחה שלה ואמצעים מוגדרים.

אמצעים להבטיח מינימום נתונים: Taboola מגבילה בכוונה את הנתונים שאנו אוספים כחלק מעקרונות המינימיזציה הגלובליים של Taboola של עיבוד רק את הנתונים המוגבלים הדרושים למטרות העסקיות הספציפיות שלנו. יתר על כן, Taboola אין את היכולת, או כל צורך עסקי, “הנדסת הפוך” כל נקודות נתונים המשמשות אלגוריתם שלנו כדי לספק את השירותים שלנו. באופן ספציפי יותר, נקודות הנתונים ש-Taboola אוספת לעולם אינן מצביעות על זהות המשתמש – שכן Taboola אינה אוספת או מעבדת מידע כגון שם המשתמש, מספר טלפון, דואר אלקטרוני או כתובות פיזיות. במקום זאת, Taboola אוספת רק מזהים פסידואיים, אשר רק מזהים מאפיינים על המכשיר של המשתמש. זה כולל כתובות IP (שנקצרות בעת איסוף והן יכולות לזהות רק את המיקום הכללי של קוד הדואר של המכשיר, אבל אף פעם לא מיקום גיאוגרפי מדויק) ובמקרים מוגבלים, כתובות דואר אלקטרוני חשיפה (שהן בלתי הפיכות באופן טבעי ולא ניתן לפענח כדי לחשוף את כתובת הדואר האלקטרוני המקורית). יתר על כן, גם כאשר משתמשים באופן קולקטיבי, הנתונים שאנו אוספים לעולם לא יכולים לייצר את שמו, מספר הטלפון, הדואר האלקטרוני או כתובת הפיזית של אדם, והמהנדסים שלנו לא עובדים בשום דרך כדי להשיג מטרה זו. בנוסף, Taboola מייצרת ומקלטת הערכות השפעה על הפרטיות במאמץ למזער את הסיכונים הפרטיים של השירותים, התהליכים והמדיניות שלנו.

אמצעים להבטיח איכות נתונים: הנתונים נאספים ישירות מהמשתמש, והמשתמש מקבל את ההזדמנות לתקן כל נתון הקשור ל-CookieID שלו באמצעות פורטל בקשת הגישה של נושא Taboola: https://accessrequest.taboola.com/access

אמצעים להבטיח שמירה מוגבלת של נתונים: אנו שומרים מידע על המשתמש, שנאסף ישירות למטרות מציגת מודעות, במשך לא יותר משש עשרה (13) חודשים מהאינטראקציה האחרונה של המשתמש עם השירותים שלנו (לעיתים קרובות לתקופה קצרה יותר), לאחר מכן אנו מזיהים את הנתונים על ידי הסרת מזהים ייחודיים או אוסף הנתונים. תהליך זה נעשה באופן אוטומטי.

אמצעים להבטיח אחריות: Taboola מבצעת בדיקות אבטחה רבות ובדיקות חשיפה (אבל לא עבור כל המערכות). Taboola גם משתמשת בספקי ענן אשר מוסמכים על ידי ISO ועומדים בקנה אחד עם תעודות רלוונטיות ענן אחרות כדי לשמור על הגנות פיזיות של שרת.

אמצעים המאפשרים ניידות נתונים ולוודא מחיקה: Taboola קשור למחוק מדיה אותו עבור כל סוג של מדיה כפי שהוא עשוי להכיל PII. כל מדיה חייבת להיות מוחקת לחלוטין לפני שימוש חוזר או פינוי. כל הפעלת התקשורת מתועדת. על העובדים לא להדפיס מסמכים שעלולים להכיל מידע אישי.

  1. במידה שהצד מבצע העברה מוגבלת של נתונים שנאספו לצד השני, סעיפי החוזה הסטנדרטיים ישולבו לתנאי הפרטיות של המפרסמים והחלים כדלקמן:
    1. כאשר העברה מוגבלת היא העברה מוגבלת של האיחוד האירופי, הסכמי ה- SCC של האיחוד האירופי יחולו בין הצדדים כדלקמן:
      1. מודול אחד יחול;
      2. בסעיף 7 יחול הסעיף האופציונלי (optional docking clause);
      3. בסעיף 11 לא יחול השפה האופציונלית;
      4. בסעיף 17, האופציה 1 תחול, ו- SCC של האיחוד האירופי יהיו כפופים לחוק האירי;
      5. בסעיף 18(ב), סכסוכים ייפתרו בפני בתי המשפט של אירלנד;
      6. החלקים A, B ו- C של המצורף הראשון ייחשבו למלאים עם המידע המפורט בחלקים A, B ו- C של המצורף A לתנאי פרטיות המודעות האלה; וכן
      7. Annex II ייחשב כשלם עם אמצעי האבטחה המתוארים ב- Annex B לתנאי פרטיות המפרסמים האלה;
    2. כאשר ההעברה המוגבלת היא העברה המוגבלת בבריטניה, התוספת הבריטית תחול בין הצדדים כדלקמן:
      1. ה- SCC של האיחוד האירופי, המושלם כמתואר לעיל, יחול בין הצדדים, והוא ישתנה על ידי התוספה של בריטניה (הושלם כמתואר בסעיף (ii) להלן); וכן
      2. הטבלאות 1 עד 3 של התוספה של בריטניה ייחשבו למלאות עם מידע רלוונטי מ- SCCs של האיחוד האירופי, המלא כמתואר לעיל, ואפשרויות “יצואן” ו- “יבואן” ייחשבו לבדוק בטבלה 4. תאריך ההתחלה של תוספת הממלכה המאוחדת (כפי שמתואר בטבלה 1) יהיה תאריך הכניסה לתוקף של תנאי פרטיות המפרסמים האלה.
  2. העברות מוגבלות:  אף צד לא יעשה העברה מוגבלת נוספת של נתונים שנאספו שהוא מקבל מהצד השני, אלא אם כן הוא עשה את כל הפעולות והדברים הדרושים כדי להבטיח שהעברה מוגבלת נוספת כזו תואמת את חוק הגנת הנתונים החלים וכל סעיף חוזה סטנדרטי שהוא הסכים עם הצד השני.