1. איזה מידע נאסף ונשמר

האפליקציה שומרת מידע שהמשתמש מזין או יוצר באפליקציה, לרבות:

פרטי פרופיל

• שם פרטי, שם משפחה, שם משתמש, Bio, אווטר או אימוג'י פרופיל.
• מצב חשבון פרטי או ציבורי.
• עוקבים ונעקבים.
• מזהי משתמש (UID) לצורך זיהוי, ניהול תוכן ואבטחה.

פרטי טיולים

• שם הטיול, תאריכי התחלה וסיום.
• יעדים, כתובות וקואורדינטות.
• תמונת הטיול וקטגוריות מותאמות אישית.
• הרשאות שיתוף.

פרטים לוגיסטיים

• טיסות: מספר טיסה, חברת תעופה, שדות תעופה, תאריכים ושעות, מספרי מושבים, מחלקת ישיבה, מחירים.
• מלונות: שם, כתובת, קואורדינטות, תאריכי שהייה, מחיר, דירוג, ארוחות.
• השכרת רכב, רכבות, מעבורות, נסיעות ומוניות - פרטי איסוף, החזרה, נהג, חברה, מחיר.
• הערות, קישורי הזמנה, מספרי אישור הזמנה, סטטוס תשלום וקבצים מצורפים.

אישורי הזמנה

• שם המקום, כתובת, תיאור, יעד, תאריך, שעה, מחיר, סטטוס תשלום.
• מספרי הזמנה וקישורי הזמנה הנשמרים באחסון מאובטח של המכשיר.
• קבצים ותמונות של אישורי הזמנה.

רשימות, פתקים ומסמכים

• צ'ק-ליסטים, פריטי רשימה, סטטוסים, כמויות, עדיפויות ושיוך לאנשים.
• פתקים - כותרות, תוכן חופשי, צבע, שיוך ליעד ותזכורות.
• מסמכים חשובים - שם, תיאור וקבצים מצורפים כגון דרכון, רישיון, ביטוח וכרטיסים.

מקומות לביקור

• שם המקום, יעד, סוג, כתובת, קואורדינטות, שעות פתיחה, אתר, דירוג, כשרות, סוג אוכל ותמונות.
• מקומות שמורים ומקומות שיצרת.

לו"ז הטיול

• ימי לו"ז, פריטי לו"ז, שעות, כתובות, קואורדינטות, קישורים, הערות יומיות, שיוך למקומות, פריטים לוגיסטיים ואישורי הזמנה.

נתוני מזג אוויר

• נתוני תחזית מזג אוויר נשלפים לפי קואורדינטות יעד הטיול, ולא לפי מיקום המשתמש בזמן אמת, ונשמרים זמנית במכשיר כ-Cache.

2. היכן המידע נשמר

מקומית במכשיר

חלק נכבד מהמידע נשמר באחסון המקומי של המכשיר, לרבות SharedPreferences ומערכות אחסון פנימיות. נתונים אלה זמינים גם ללא חיבור לאינטרנט וגם ללא שיתוף.

אחסון מאובטח במכשיר

מידע רגיש במיוחד נשמר באחסון המאובטח של המכשיר (Flutter Secure Storage), הנשען על Keychain במכשירי iPhone ועל Keystore או Secure Storage במכשירי Android.

באחסון זה נשמרים, בין היתר:

• מספרי הזמנה וקישורי הזמנה של אישורי הזמנה.
• מפתחות הצפנה של קבצים מקומיים מוצפנים.

גיבוי אישי של המשתמש

אם המשתמש הפעיל גיבוי במכשיר, חלק מהמידע עשוי להישמר ב-iCloud או ב-Google Drive, בהתאם למערכת ההפעלה ולהגדרות הגיבוי. אם האפשרות לגיבוי מידע פרטי כבויה, חלק מהמידע הפרטי לא ייכלל בגיבוי בהתאם ללוגיקה של האפליקציה.

שרתי ענן

כאשר טיול משותף או מסונכרן, או כאשר נעשה שימוש בפיצ'רים שדורשים עיבוד בענן, חלק מהמידע נשמר בשרתי ענן:

• Firebase Firestore - פרטי טיולים משותפים, פרופילים, מקומות ציבוריים (TripInspo), תבניות (TripTap), עוקבים, הזמנות שיתוף, מטא-דאטה ומידע משותף.
• Cloudflare R2 - קבצים, תמונות ואישורי הזמנה שמועלים כחלק משיתוף או סנכרון.
• ImgBB - שירות אחסון תמונות, עשוי לשמש כאחסון משני (fallback) לתמונות ציבוריות.

3. שיתוף טיולים - שיתוף בסיסי ושיתוף מאובטח

שיתוף בסיסי (Share Basic)

הטיול עולה לשרתי הענן, אך חלק מהמידע הפרטי מוסר או אינו מועלה. בפרט, מסמכים חשובים, קבצי אישורי הזמנה, מספרי אישור הזמנה וקישורי הזמנה פרטיים אינם אמורים להיות משותפים בשיתוף בסיסי. עם זאת, מידע רגיל של הטיול, כולל פרטים לוגיסטיים, הערות ונתונים כלליים, עדיין עשוי להיות משותף.

שיתוף מאובטח (Share Secure)

המידע הדרוש לשיתוף עולה לשרתי הענן, כאשר מידע רגיש מסוים מוצפן לפני העלאה. לא כל שדה שהמשתמש עשוי לראות כרגיש מוצפן בהכרח. מידע רגיש מסוים, כפי שמוגדר במערכת, מוצפן במצב שיתוף מאובטח.

קישור השיתוף המאובטח כולל מפתח גישה. יש לשתף אותו רק עם אנשים שאתם סומכים עליהם. קישור השיתוף תקף ל-10 דקות בלבד מרגע יצירתו.

הרשאות משתתפים

משתתפים שהוזמנו לטיול עשויים לראות, לערוך, להוסיף או להזמין אחרים, בהתאם להרשאות שניתנו להם על ידי בעל הטיול.

4. שימוש ב-AI

האפליקציה משתמשת בשני ספקי AI עיקריים לפיצ'רים שונים:

Google / Firebase AI / Gemini

משמש לחילוץ פרטי לוגיסטיקה מטקסטים, תמונות וקבצים, וליצירת לו"ז מלא לטיול. המידע שנשלח כולל פרטי טיול, יעדים, תאריכים, מקומות, פרטים לוגיסטיים מסוננים, אישורי הזמנה מסוננים, העדפות והערות חופשיות.

עיבוד המידע על ידי Firebase AI או Google כפוף למדיניות הפרטיות, האבטחה ושמירת הנתונים של Google ולהגדרות הפרויקט.

OpenAI

משמש ליצירת טיול חדש באמצעות AI, וליצירת או עריכת לו"ז יומי. בהתאם להגדרות החשבון או הפרויקט שלנו מול OpenAI, ייתכן שקלטים ופלטים שנשלחים ל-OpenAI ישותפו עם OpenAI לצורך שיפור שירותים, הערכת איכות, פיתוח או אימון מודלים.

מידע שלא נשלח ל-AI

• מספרי אישור הזמנה וקודי אישור.
• קבצים ותמונות של אישורי הזמנה.
• קבצים ותמונות פרטיים מדף הלוגיסטיקה ומדף המסמכים.
• קישורי הזמנה פרטיים.

המלצה חשובה למשתמש

האפליקציה ממליצה בחום שלא להזין לפיצ'רי AI מידע רגיש שאינו נחוץ, לרבות:

• מספרי דרכון, תעודת זהות, רישיון נהיגה או מסמכים אישיים.
• פרטי תשלום, אשראי, חשבון בנק או סיסמאות.
• מידע רפואי.
• מידע אישי של אנשים אחרים ללא הרשאה.
• מידע סודי או עסקי רגיש.

יש לבדוק כל תוצר AI לפני שמירה או הסתמכות. תוצרי AI עשויים להיות שגויים, חלקיים או מטעים.

5. תוכן ציבורי - TripInspo

כאשר משתמש מפרסם מקום ל-TripInspo, פרטי המקום הופכים לציבוריים וזמינים למשתמשים אחרים.

מידע ציבורי עשוי לכלול:

• שם המקום, סוג, כתובת וקואורדינטות.
• תיאורים, שעות פתיחה, אתר, האם נדרשת הזמנה.
• דירוג, כשרות, סוג אוכל.
• תמונות וקרדיט לצלם.
• שם המשתמש שפרסם ותאריך השיתוף.
• UID של המשתף לצורך ניהול תוכן, אבטחה, מחיקה, טיפול בדיווחים ומניעת שימוש לרעה.

תמונות ציבוריות עשויות להישמר בשירותי אחסון חיצוניים כגון Cloudflare R2 ו-ImgBB. משתמשים אחרים יכולים לצרף מקום ציבורי לטיול שלהם, ואז עותק של המידע יישמר גם אצלם. אם משתמש מוחק מקום ציבורי, ייתכן שעותקים שכבר צורפו לטיולים פרטיים של משתמשים אחרים לא יימחקו אוטומטית.

6. נתוני מיקום

האפליקציה משתמשת בקואורדינטות של יעדים, מלונות, אטרקציות ומקומות לצורך הצגת מפות, חישוב מסלולים, חיפוש לפי רדיוס ושליפת מזג אוויר. הקואורדינטות הן של היעד או המקום ולא בהכרח של מיקום המשתמש בזמן אמת.

7. צדדים שלישיים

האפליקציה משתמשת בשירותי צד שלישי הבאים. השימוש בשירותים אלה כפוף גם למדיניות הפרטיות שלהם:

• Firebase Auth - אימות וזיהוי משתמשים.
• Firebase Firestore - אחסון נתונים בענן.
• Cloudflare R2 - אחסון קבצים ותמונות.
• ImgBB - אחסון תמונות ציבוריות (fallback).
• OpenAI - שירות AI ליצירת טיולים ועריכת לו"ז יומי.
• Gemini / Firebase AI / Google - שירות AI לחילוץ פרטי לוגיסטיקה ויצירת לו"ז מלא.
• Google Maps / Apple Maps - שירותי מפות, מסלולים וחיפוש כתובות.
• Meteo-Open - שירות נתוני מזג אוויר.
• Pixabay / Unsplash - שירותי תמונות חיצוניים.
• Google Drive / iCloud - שירותי גיבוי של המכשיר בהתאם להגדרות המשתמש.
• Booking, GetYourGuide וספקי תיירות נוספים - אם מוצגים קישורים אליהם.
• שירותי שיתוף חיצוניים - כאשר המשתמש שולח קישור דרך SMS, WhatsApp, אימייל או אפליקציה אחרת.
• Google Mobile Ads / AdMob - הצגת פרסומות, פרסומות מותאמות אישית, מדידת ביצועים, מניעת הונאות ותגמול עבור צפייה בפרסומות, אם פיצ'רים אלה מופעלים.
• Firebase Cloud Messaging / Apple Push Notification Service / Google Push Services - שליחת התראות Push, עדכוני מערכת, עדכוני AI ותזכורות.

8. פרסומות וספקי פרסום

האפליקציה עשויה להשתמש בספקי פרסום חיצוניים לצורך הצגת פרסומות, מדידת ביצועים, מניעת הונאות, התאמת פרסומות ושיפור חוויית המשתמש.

ספקי פרסום עשויים לאסוף או לקבל מידע טכני מסוים, כגון מזהה פרסום של המכשיר, סוג מכשיר, מערכת הפעלה, כתובת IP משוערת, שפה, אזור כללי, נתוני צפייה או אינטראקציה עם פרסומות, בהתאם למדיניות שלהם ולהגדרות המשתמש.

האפליקציה אינה מוכרת מידע אישי של משתמשים למפרסמים. עם זאת, ספקי פרסום חיצוניים עשויים לעבד מידע בהתאם למדיניות הפרטיות שלהם ולדין החל.

9. התראות Push

כדי לשלוח התראות Push, האפליקציה עשויה להשתמש בשירותי התראות חיצוניים, כגון Firebase Cloud Messaging או שירותי מערכת ההפעלה של Google ו-Apple.

לצורך שליחת התראות, האפליקציה עשויה לשמור מזהה התראות של המכשיר, כגון FCM Token או מזהה דומה, יחד עם פרטי משתמש או טיול רלוונטיים הדרושים לשליחת ההתראה.

התראות עשויות לכלול מידע הקשור לטיול, שיתוף, לו"ז, בקשות AI, עדכונים או הודעות מערכת. מומלץ למשתמש להפעיל נעילת מסך במכשיר, משום שהתראות עשויות להופיע על מסך הנעילה בהתאם להגדרות המכשיר.

המשתמש יכול לבטל או להגביל התראות דרך הגדרות המכשיר או דרך הגדרות האפליקציה, ככל שהאפשרות קיימת.

10. מי רואה את המידע

• האפליקציה אינה מוכרת את המידע האישי של המשתמש.
• גישה פנימית של מפעילי האפליקציה למידע, אם קיימת, תיעשה רק לצורך תפעול, אבטחה, תמיכה, תיקון תקלות, עמידה בחוק או הגנה מפני שימוש לרעה.
• בטיול משותף, משתתפים מורשים עשויים לראות את המידע בהתאם להרשאות שניתנו להם.
• ב-TripInspo, מקומות שפורסמו ציבורית גלויים למשתמשי האפליקציה.
• במקרה של פריצה או תקלה אצל ספקי צד שלישי, כגון Cloudflare, Apple, Firebase, Google או שירותי גיבוי, האחריות של האפליקציה מוגבלת בהתאם לתנאי השימוש ולדין החל.

11. זכויות המשתמש

המשתמש יכול:

• לערוך או למחוק את הפרופיל שלו ואת התוכן שיצר.
• להגדיר את החשבון שלו כפרטי.
• להסיר מקומות שפרסם ל-TripInspo, בכפוף לעותקים אצל משתמשים אחרים.
• למחוק טיולים, מקומות, מסמכים, אישורי הזמנה ופריטי לו"ז.
• להפסיק שיתוף של טיול.

מחיקת מידע מהאפליקציה לא בהכרח תמחק עותקים שכבר שותפו, גובו או הועתקו על ידי משתמשים אחרים או צדדים שלישיים.

12. שמירת מידע פרטי בענן

מידע פרטי שנשמר ב-Firestore או ב-R2 כחלק משיתוף או סנכרון מיועד להישמר בענן לתקופה מוגבלת בהתאם למדיניות המחיקה של האפליקציה. ייתכן שמידע פרטי בענן יימחק אוטומטית לאחר תקופה מסוימת מסיום השימוש בו.

1. עקרונות אבטחה כלליים

• האפליקציה נוקטת באמצעי אבטחה סבירים להגנה על מידע המשתמשים.
• אין מערכת דיגיטלית שמאובטחת ב-100%.
• גישה לטיולים פרטיים מוגבלת לבעל הטיול בלבד.
• גישה לטיולים משותפים מוגבלת לבעלים ולמשתתפים מורשים בלבד.
• שימוש ב-AI מוגבל לפי מכסות (Rate Limits) כדי למנוע ניצול לרעה.

2. אחסון מאובטח במכשיר

מידע רגיש במיוחד נשמר באחסון המאובטח של מערכת ההפעלה (Flutter Secure Storage):

• Keychain במכשירי iOS.
• Keystore או Secure Storage במכשירי Android.

באחסון זה נשמרים מספרי הזמנה, קישורי הזמנה ומפתחות הצפנה של קבצים מקומיים.

קבצים מצורפים למסמכים חשובים נשמרים מקומית בצורה מוצפנת באמצעות שירות הצפנת קבצים פנימי (SecureAttachmentService) בתיקייה ייעודית של האפליקציה. מפתחות ההצפנה נשמרים באחסון המאובטח של המכשיר.

3. הצפנה בשיתוף מאובטח

במצב שיתוף מאובטח (Share Secure), מידע רגיש מסוים מוצפן לפני שמירה בשרתי הענן:

• שיטת הצפנה: AES-256.
• מפתח הצפנה ייחודי לכל טיול (Trip-per-key).
• מפתח בגודל 32 bytes המקודד ל-Base64.
• לכל פעולת הצפנה נוצר IV אקראי חדש בגודל 16 bytes.
• שדה מוצפן נשמר כ-Base64 הכולל את ה-IV יחד עם הטקסט המוצפן.
• קבצים מוצפנים באותו עיקרון לפני העלאה לשרתי הקבצים.

שדות רגישים שמוצפנים במצב שיתוף מאובטח

בפרטים לוגיסטיים: הערות, קישור הזמנה, מחיר כולל, סטטוס תשלום, סכום ששולם, מספר טיסה, מספרי מושבים, מחלקת ישיבה, שם נהג, טלפון נהג, כתובת מלון וקואורדינטות מלון.

באישורי הזמנה: פרטים נוספים, מחיר ומספר הזמנה.

ברשימות ופתקים: כותרת ותוכן.

במסמכים חשובים: שם ותיאור.

בקבצים: קבצים מצורפים שמועלים לאחסון בענן מוצפנים לפני העלאה.

חשוב: לא כל שדה שהמשתמש עשוי לחשוב שהוא רגיש מוצפן בהכרח. מידע רגיש מסוים, כפי שמוגדר במערכת, מוצפן במצב שיתוף מאובטח.

4. מפתחות וקישורי שיתוף מאובטח

• מפתח השיתוף נשמר ב-URL Fragment של הקישור, החלק שאחרי הסימן #, שאינו נשלח לשרת.
• בשרת נשמרים רק מזהה הטיול, nonce ותאריכי יצירה ותפוגה - ולא המפתח עצמו.
• קישור שיתוף מאובטח תקף ל-10 דקות מרגע יצירתו.
• המשתמש אחראי לשמור על קישור השיתוף ולא להעביר אותו למי שאינו מורשה.

5. בקרת גישה והרשאות

• כללי גישה לשרתי הענן (Firestore Rules) מוגדרים כך שמשתמש יוכל לגשת רק לטיולים, מקומות, מסמכים ופריטים שיש לו הרשאה אליהם.
• טיולים משותפים מנוהלים לפי הרשאות צפייה, עריכה, הוספה והזמנה.
• רק בעל התוכן או מנהל מערכת רשאי למחוק או לעדכן מקומות שפורסמו ל-TripInspo.
• רק מנהל האפליקציה רשאי ליצור, לערוך או למחוק תבניות TripTap.
• שינוי מצב חשבון לפרטי משפיע גם על הצגת התוכן הציבורי.

6. אבטחת קבצים בענן

• קבצים רגישים בשרתי האחסון בענן (Cloudflare R2) אינם זמינים לגישה ציבורית ללא הרשאה מתאימה.
• במצב שיתוף מאובטח, קבצים שמועלים לענן מוצפנים לפני העלאה.
• מחיקת מסמך או אישור הזמנה אמורה למחוק גם את הקבצים המוצפנים שמצורפים אליו.

7. הגבלות שימוש ב-AI

השימוש בפיצ'רי AI מוגבל לפי מכסות שימוש כדי לשמור על אבטחה, יציבות השירות וניצול הוגן של המשאבים. מכסות לדוגמה, היכולות להשתנות מעת לעת:

• עד 5 בקשות בשעה.
• עד 10 בקשות ביום.
• עד 30 בקשות בשבוע.

מפעיל האפליקציה רשאי להגביל, להשהות או לחסום שימוש חריג, אוטומטי או מנוגד לתנאי השימוש בפיצ'רי AI.

האפליקציה נוקטת באמצעי הגנה מפני Prompt Injection ושימוש לרעה ב-AI, ומסננת מידע רגיש מסוים לפני שליחה לספקי AI.

8. אבטחת קישורים

• האפליקציה מסננת קישורים חיצוניים שמוצגים בדף הציבורי כך שיתקבלו רק כתובות http או https.
• קישורי ניווט וקישורים חיצוניים נפתחים רק דרך כתובות תקינות.

9. דיווח על תוכן

משתמשים יכולים לדווח על תוכן שגוי, פוגעני, מפר זכויות, ספאם, מקום שאינו קיים, תמונה לא ראויה או כל בעיה אחרת בתוכן ציבורי. דיווחים נבדקים על ידי צוות האפליקציה ועשויים להוביל להסרה, עריכה, הסתרה או חסימה של תוכן או חשבונות.

10. לוגים ומידע טכני

האפליקציה שומרת לוגים מינימליים לצורכי אבטחה, מניעת שימוש לרעה, איתור תקלות והגנה משפטית. אנו פועלים שלא לשמור מידע רגיש מיותר בלוגים, בדוחות קריסה או בנתוני Analytics.

במקרה של חשד להפרה, שימוש לרעה, תוכן פוגעני או פעילות לא חוקית, האפליקציה רשאית לשמור מידע טכני, לוגים, מזהי משתמש, תוכן ודיווחים לצורך בדיקה, אבטחה, הגנה משפטית או שיתוף עם רשויות לפי דין.

11. אחריות המשתמש לאבטחה

המשתמש אחראי לשמור על אבטחת המכשיר, החשבון, הסיסמאות, הגיבויים וקישורי השיתוף שלו. האפליקציה אינה אחראית לחשיפת מידע שנגרמה כתוצאה מ:

• גניבת מכשיר או אובדן מכשיר.
• פריצה למכשיר או למכשיר ללא נעילה.
• שיתוף סיסמאות עם אנשים אחרים.
• גישה לא מורשית לחשבון Google, Apple או חשבון האפליקציה.
• העברת קישורי שיתוף לאנשים שאינם מורשים.
• צילום מסך והעברתו לאחרים.
• שימוש במכשיר ציבורי או לא מאובטח.

12. עדכוני מדיניות

מפעיל האפליקציה רשאי לעדכן את מדיניות הפרטיות והאבטחה מעת לעת. המשך השימוש באפליקציה לאחר עדכון המדיניות ייחשב כהסכמה למדיניות המעודכנת, בכפוף לדין החל.