הסכם סודיות והגנה על מידע חסוי
1) מטרות ועקרונות
NDA (הסכם אי-גילוי) ומדיניות פנימית מגנים:- סודות עסקיים (אלגוריתמים נגד הונאה, פרופילי בונוס, מודלים של ML, מתמטיקה של RNG);
- חומרי משא ומתן (תגי מחיר, הצעות, M&A, בדיקת נאותות);
- תהליכים טכניים ומקורות (ארכיטקטורה, IC, דיאגרמות API, מפתחות);
- נתוני שותף (SDK, מפות דרכים, בטא);
- נתונים אישיים/עסקיים (בתוך DPA/DSA).
עקרונות: צורך לדעת, איתור, הצפנה כברירת מחדל, הפרדת תפקידים/אחריות, ”חדר נקי” לפיתוח משותף.
2) סיווג וסימון מידע
רמת סיווג מומלצת וכללי מגע:סימון: ”[ סודי ]”, בעל נתונים, תאריך שחרור, קישור לסיבת כרטיס/גישה.
3) מצב סודות מסחריים
חוק/מדיניות: רשימת מידע, אמצעי הגנה, אחריות.
אמצעים טכניים: RBAC/ABAC, רישומי גישה, DLP, סימון מים, הדפסה/בקרת צילום מסך.
ארגון: על סיפון/פקיעת רשימות, הכשרה, הסכמי סודיות, איסור להוציא/להוציא מדיה ללא רישום.
דיסציפלינה: גרסאות, רישום חפצים, תוויות, ערוצים ”סודיים” (חללים סגורים/מאגרים).
4) סוגים של NDA
חד כיווני: חושף צד אחד (בדרך כלל ספק SDK).
הדדי: החלפת מידע חסוי בשני הכיוונים (משא ומתן, אינטגרציה).
איחוד, טייסים משותפים.
NCA/NDA + NCA: אי-עקיפה (איסור לעקוף את המתווך) מתווספת ל NDA.
NDA עם מפתח/קבלן: לשלב עם המצאות/הקצאה (זכויות לתוצאות).
5) קטעי מפתח של NDA (שהוא חובה)
1. הגדרת מידע סודי: incl. oral (עם אישור בכתב נוסף), electronic, media מוחשית; רשימת דוגמאות טיפוסיות (קוד, תוכניות, מחירים, לוחות מחוונים).
2. יוצאים מן הכלל: (i) ידוע בציבור ללא הפרה; (ii) כבר היה ברשותו החוקית; (III) התפתח באופן עצמאי (באופן מספק); נחשף באופן חוקי לסוכנויות ממשלתיות (בהתראה).
3. מטרת הגילוי: ספציפית (הערכת שותפות, פיילוט, ביקורת חשבונות).
4. חובות הנמענים: רמת ההגנה אינה נמוכה משלהם; איסור על העתקה מעבר למטרה, איסור על הנדסה הפוכה/סימון נתונים ללא הסכמה.
5. מונח ו ”הישרדות”: מונח חוזה (למשל: 2-5 שנים) + הגנה לאחר טווח של סודות (למשל. 5-10 שנים ללא הגבלת זמן עבור סודות).
6. חזרה/השמדה: בעת בקשה או השלמה - חזרה/מחיקה באישור; גיבויים - תחת מצב אחסון עד לטווח אוטומטי.
7. ביקורת חשבונות והודעות תקרית: מהירות הודעה (למשל 72 שעות), שיתוף פעולה בחקירה.
8. תרופות משפטיות: סעד, פיצויים, הגבלות אינן חלות על הפרות מכוונות.
9. חוק/בוררות: סמכות שיפוט/פורום, שפה, ADR/בוררות.
10. ייצוא/סנקציות: איסור העברה לסנקציות משנה/סמכות שיפוטית; ציות לבקרת ייצוא (קריפטוגרפיה).
11. ”Residual Knowledge” (כפי שהוסכם): אפשרי/בלתי אפשרי להשתמש ב ”ידע לא רשום” של עובדים (בדרך כלל - להוציא או להגביל).
12. קבלני משנה/Associates: מותר רק עם התחייבויות דומות והסכמה בכתב.
13. הגנה על נתונים (אם PII): התייחסות ל-DPA/DSA, תפקיד הצדדים (בקר/מעבד), מטרות/בסיס משפטי, העברות מעבר גבול, תקופת שימור.
6) קישור בין ארגוני זכויות אדם לפרטיות ואבטחה
אם מועברים נתונים אישיים, אין די ב-NDA - DPA/DSA ו-GDPR/אמצעים אנלוגיים נדרשים (עילה חוקית, זכויות הנבדקים, DPIA לסיכון גבוה).
בקרה טכנית: הצפנה במעבר (TLS 1. 2 +), במנוחה (AES-256), ניהול סודי, סיבוב מפתח, MDM למכשירים, 2FA, SSO, מזעור יומני PII.
7) הליכי גישה והחלפה
ערוצים: דואר דומיין, חדרים מוגנים (VDR), SFTP/mTLS, ארכיונים מוצפנים (AES-256 + מתוך הפס).
איסור: שליחים מיידיים ללא שילוב ארגוני, עננים אישיים, קישורים ציבוריים, מכשירים לא מנוהלים.
שליטה על הדפסה/יצוא, איסור על תקשורת פלאש אישית, הגבלות גיאו (geofenses).
8) חדר נקי ופיתוח משותף
להפריד בין הפקודות ”לראות” ו ”לנקות”, לאחסן חפצים חד צדדיים בנפרד.
מקורות מסמכים ומקורות.
עבור POCs משותפים: להסכים על הזכויות לתוצאות (Joint/Message) שבבעלותו של Greaded Data.
9) מטריצת סיכון סמרטוט
10) רשימות בדיקה
לפני החלפת מידע
[ ] חתום על ידי NDA (ימין/פורום/מונח/חריגים/סנקציות).[ ] האם אני צריך DPA/DSA? אם כן, חתום.[ בעלים ] סט ורמת סיווג מוקצים.[ ] ערוץ ההחלפה וההצפנה עקביים.[ ] רשימת הצורך לדעת, גישת VDR/תיקיות מוגדרת.במהלך ההחלפה
[ ] סימון קובץ וגרסה, סימני מים.[ ] יומני גישה, אין שיתוף מחדש ללא הסכמה.[ ] סכומי חשיש/קופת חפצים.לאחר סיום
[ ] חזרה/מחיקה ואישור בכתב.[ ] גישה בוטלה, אסימונים/מפתחות הסתובבו.[ ] פוסט ביקורת: מה לשפר בתהליכים/תבניות.11) תבניות (רסיסים של סעיפים חוזיים)
א. הגדרות וחריגות
B התחייבויות וגישה
C. טווח/הישרדות
D. חזרה/הרס
E. תרופות משפטיות
F. יצוא/סנקציות
ג. שיורי ידע (אופציונלי)
> הצדדים מסכימים כי הכישורים והידע הכללי הלא מבוססים של עובדי המקבל אינם נחשבים מידע סודי, בתנאי שאין שינון מכוון ושימוש בקוד מקור/נוסחאות סודיות. (מומלץ לשלול או להגביל באופן חמור פרויקטים בסיכון גבוה.)
12) רישומים מומלצים (YAML)
12. רישום NDA 1
yaml nda_id: "NDA-2025-0142"
counterparty: "GameProvider X Ltd"
type: "mutual"
purpose: "SDK integration and technical support"
term_months: 36 survival_years: 7 includes_dpa: true export_sanctions_clause: true residual_knowledge: "excluded"
owner: "Legal"
vault_folder: "vdr/providers/gpx"12. רישום החלפת חפצים 2
yaml exchange_id: "XCH-2025-009"
nda_id: "NDA-2025-0142"
classification: "Confidential"
channel: "VDR"
files:
- "api_specs_v3. pdf" # sha256:...
- "kpis_q1. xlsx" # sha256:...
recipients: ["a. smith@gpx. com","techlead@gpx. com"]
access_start: "2025-11-05"
access_end: "2026-01-31"
destroy_confirmed: false13) מדיניות ביטחון ופרקטיקות (תקציר)
מכשירים: חברה, הצפנת דיסק מלא, MDM, BYOD BAN עבור ”סוד”.
גישה: SSO/2FA, גישה מותנית (geo/device), תפקידים זמניים (just-in-time).
יומנים: אחסון וניטור של נגישות; התראות לפריקה המונית/שעות לא סטנדרטיות.
DLP: בלוק של מצורפים מחוץ לתחום/ללא הצפנה, סימני מים ב ־ PDF.
נוחות: תבניות חדר מאובטחות (VDR), תסריטי הצפנה בארכיון מוכן, NDA/DPA סטנדרטי.
14) ניהול תקריות (בהקשר של NDA)
1. קיבעון: מה, מתי, מי, אילו קבצים/מאגרים; הקפאת מפגשים.
2. בידוד: ביטול הגישה/מפתחות, ”מקפיא” זמני בענן.
3. הודעות: בעל נתונים, עורכי דין, שותפים; PII - על ידי DPA/GDPR.
4. חקירה: אוסף של יומנים, זיהוי פלילי, קביעה של כמות הנזק.
5. תיקון: החלפת סודות, טלאים, עדכון ספרי משחק, למידה.
6. צעדים משפטיים: תביעות/תביעות עובדות על הסכם סודיות, פיצויים.
15) מיני ־ FAQ
סל "א מספיקה לנתונים אישיים? לא, אתה צריך DPA/DSA ואמצעי פרטיות.
האם זה אפשרי לשלוח סודי לשליח? רק באישור יזמות ובקצה אל הקצה, עם DLP/logs מופעל.
כמה עולה לאחסן חומרים? ככל שנדרש על ידי אובייקטיבי/חוזה; עם סיום - חזרה/מחיקה עם אישור.
האם אני צריך להצפין כוננים פנימיים? כן, דיסק מלא + הקובץ/הצפנה סודית.
16) מסקנה
הסכם הסודיות הוא רק קצה הקרחון. הגנה אמיתית מבוססת על סודות מסחריים, פרטיות (DPA), שליטה טכנית וארגונית קפדנית, החלפת משמעת ותגובת אירוע מהירה. תקן תבניות, צור קופות וספרי משחקים, והסודות שלך, הקוד והמשא ומתן יישארו נכס, לא פגיעות.