דלגו לתוכן
מענה לשאלוני אבטחה, due diligence ושרשרת אספקה

ביקורות ספקים ושאלוני אבטחת מידע

לקוח Enterprise שלח שאלון של 200 שאלות? משקיע מבקש Evidence Pack לפני חתימה? אנחנו בונים, ממלאים ומגנים על תיק האבטחה שלכם מול לקוחות, רגולטורים ושותפים — בלי לעצור את המכירה.

תוצאות עיקריות

מה אתם מקבלים בסוף.

  • Evidence Pack מקצועי מוכן לשליחה — בקרות, מסמכים וצילומי מערכת

  • מענה מסודר לשאלוני אבטחת מידע (SIG, CAIQ, שאלוני לקוח ייחודיים)

  • מיפוי פערים מהיר לפני ביקורת לקוח קריטית

  • ליווי בשיחות עם צוות האבטחה של הלקוח

  • תיק בסיס שמתחזק ומשמש לכל לקוח עתידי

תוצרים

מה נמסר לכם בפועל.

  • 01Evidence Pack מקצועי (PDF + תיקיית מקור)
  • 02מענה מלא לשאלון לקוח ספציפי (SIG, CAIQ, שאלון בנקאי וכו’)
  • 03תיק בקרות לפי NIST/CIS/ISO27001 — לפי הצורך
  • 04סקירת חוזה DPA / Security Addendum
  • 05סשן הכנה לפגישת ביקורת מול הלקוח
למי זה מתאים

המצבים שבהם חברות פונות אלינו.

סימנים שמהם רוב הלקוחות שלנו מזהים שהגיע הזמן לפנות.

יש שאלון פתוח על השולחן עכשיו

לקוח גדול שלח שאלון אבטחה רחב. ענייתם חלקית ונתקעתם. הדדליין סוגר על כל הצוות.

אין לכם ISO 27001 או SOC 2 — אבל הלקוח רוצה ‘משהו’

אפשר להציג Evidence Pack שמסביר איך אתם עובדים, גם בלי תעודה רשמית.

מבקשים מכם הוכחת אבטחה לפני סגירת עסקה

צריך תיק מסודר עם בקרות, נהלים והוכחות — תוך ימים, לא חודשים.

בכל פעם שמגיע שאלון מתחילים מאפס

כדאי לבנות תשתית מענה אחת שמשרתת את כל הלקוחות העתידיים.

העלות של חוסר פעולה

מה קורה אם דוחים את ההחלטה

מענה חלקי או חובבני לשאלון אבטחה גורם להפסד עסקה — וגם מסמן את החברה שלכם כסיכון לכל לקוח עתידי באותו ענף. ההזדמנות לבנות תיק מסודר היא בדיוק עכשיו, לפני הלקוח הבא.

מה שונה אצלנו

ההבדל בינינו לבין יועץ סייבר רגיל

אנחנו יושבים משני צידי השולחן: עונים על שאלוני אבטחה של בנקים, מבטחים ולקוחות Fortune 500 — וגם כותבים ומריצים ביקורות ספקים עבור ארגונים שבודקים את שרשרת האספקה שלהם. לכן אנחנו יודעים איך המבקר קורא כל תשובה, איזו שאלה היא באמת קריטית ואיזו סעיף רגולטורי עקיף, ואיך בונים Evidence Pack שמסיים את שיחת האבטחה במקום להאריך אותה.

מה קורה בפגישה הראשונה

שלחו לנו את השאלון או את הדרישה של הלקוח. תוך 7 ימי עבודה נחזיר אבחנה ראשונית: מה ניתן לסגור מהר, מה צריך תיקון מהותי, ואיזה דגל אדום צפוי לעלות.

תיאום פגישה
מדריך מעמיק

שאלון אבטחת מידע מלקוח — איך עונים נכון, ופעם אחת בלבד

זה מגיע תמיד באותו תסריט: העסקה כמעט סגורה, ואז מחלקת האבטחה של הלקוח שולחת שאלון אבטחת מידע — קובץ אקסל עם 150–200 שאלות על הצפנה, הרשאות, גיבויים, ספקי משנה ונהלים. המכירה קופאת עד שהשאלון חוזר, מי שיודע לענות זה בדיוק האנשים שעסוקים בפיתוח, וכל תשובה מהוססת מייצרת סבב שאלות נוסף. הבשורה הטובה: שאלון אבטחה הוא משחק שאפשר ללמוד לנצח בו — ולבנות ממנו נכס שמשרת כל עסקה עתידית.

למה השאלון מסוכן יותר ממה שנדמה

שאלון אבטחה הוא לא סקר שביעות רצון — הוא מסמך טרום-חוזי. התשובות שלכם הופכות לא פעם לנספח אבטחה (Security Addendum) מחייב, נבדקות בביקורת שנתית של הלקוח, ועלולות לעלות שוב אחרי אירוע אבטחה. תשובה מנופחת היא חבות; תשובת ״לא״ יבשה בלי הקשר היא עסקה שנתקעת. המקצועיות היא לענות אמת — עם בקרות מפצות, הקשר, ולוח זמנים אמין לסגירת מה שחסר.

כל ״כן״ הוא התחייבות

אל תסמנו ״כן״ על בקרה שלא קיימת כדי לעבור את הסבב. הצהרה כוזבת בשאלון עלולה להפוך להפרת חוזה — ולפגוע באמון הרבה יותר מ״לא, ויש תוכנית״. לקוחות אנטרפרייז מעריכים תשובה כנה עם תאריך יעד יותר מגיליון מושלם בצורה חשודה.

Evidence Pack — לענות פעם אחת, למכור הרבה פעמים

הטעות של רוב החברות היא להתייחס לכל שאלון כאירוע חד-פעמי ולהתחיל כל פעם מאפס. הגישה הנכונה הפוכה: בונים פעם אחת Evidence Pack — תיק אבטחה קנוני של הארגון — ואז ממפים כל שאלון חדש אליו. תיק טוב כולל:

  • תיאור ארכיטקטורה ותרשים זרימת מידע ברמה שאפשר לשתף עם לקוח
  • מדיניות ונהלים בתוקף — אבטחת מידע, הרשאות, גיבוי, תגובה לאירועים
  • מצאי בקרות: הצפנה, MFA, ניטור, ניהול פגיעויות
  • רשימת ספקי משנה (Subprocessors) ומעמדם החוזי
  • תקציר ממצאי מבחן חדירה אחרון ותיקונם
  • נוסח DPA ותשובות מנוסחות לשאלות שחוזרות בכל שאלון

התוצאה: שאלון שפעם לקח שלושה שבועות ושיתק צוות שלם הופך לכמה ימי עבודה ממוקדים, התשובות עקביות בין לקוח ללקוח — וכל שאלון חדש רק משביח את התיק במקום לשחוק את הצוות.

כשהשאלון הופך לשיחה: פגישת הביקורת מול צוות האבטחה של הלקוח

בעסקאות גדולות, השאלון הוא רק הסיבוב הראשון — אחריו מגיעה שיחת ביקורת עם צוות האבטחה של הלקוח: ראיונות, בקשות לצילומי מסך חיים, ולפעמים אימות בקרות בפועל. גם כאן ההכנה קובעת הכול: מי מדבר בשם החברה, אילו תשובות כבר ניתנו בכתב (ואסור לסתור אותן), ומה מציגים כשמבקשים ״להראות״. אנחנו מכינים את הצוות לפני הפגישה, יושבים בה לצדכם, ועוזרים לתרגם שאלה של מבקר למה שהוא באמת רוצה לשמוע — בקרה עובדת, בעלים ברור ותיעוד.

הכיוון השני: ביקורת הספקים שלכם היא חובה, לא נימוס

רוב החברות זוכרות שהן ספק של מישהו — ושוכחות שהן גם לקוח. מערכת ה-CRM, שירות הדיוור, ספק הענן ולשכת השכר שלכם מעבדים מידע אישי שאתם אחראים עליו. בעידן תיקון 13 זו לא המלצה: נדרשים הסכמי עיבוד (DPA) מול מעבדי מידע, ותקנות אבטחת המידע מחייבות לפקח על גורמים חיצוניים שניגשים למידע. ביקורת ספקים יוצאת לא חייבת להיות מפלצת — מדרגים ספקים לפי רגישות המידע והגישה שלהם, שולחים שאלון פרופורציונלי לפי הדירוג, וקובעים סקירה תקופתית. ארגון שנשאל בביקורת ״איך אתם מפקחים על הספקים שלכם?״ צריך תשובה מתועדת.

רוצים לדעת מה יצוף בשאלון הבא — לפני הלקוח?

ענו על סקר הסיכונים החינמי שלנו: חמש דקות, ותקבלו תמונת פערים ראשונית של הבקרות שלכם — בדיוק הנקודות ששאלוני אבטחה יודעים לחשוף.

השורה התחתונה: שאלון אבטחת מידע הוא לא מטרד חד-פעמי אלא מבחן חוזר — והוא הולך ומחמיר ככל שהלקוחות גדלים. ההשקעה הנכונה היא לא ״לשרוד את השאלון הנוכחי״ אלא לצאת ממנו עם תיק שהופך את הבא בתור לשגרה: אותו Evidence Pack משרת את שאלון הלקוח, את ביקורת הספקים שאתם עורכים, וגם את היום שבו תחליטו ללכת על ISO 27001 או SOC 2.

שאלות נפוצות

שאלות שלקוחות שואלים לפני שמתחילים.

לא מצאתם את התשובה? פגישת היכרות של 30 דקות, ללא עלות.

כמה זמן לוקח לענות על שאלון של לקוח?
תלוי בהיקף. שאלון של 50 שאלות עם תשתית קיימת — סביב שבוע. שאלון של 200+ שאלות עם פערים — 3–4 שבועות, כולל הכנת הוכחות.
האם אתם מתאימים גם בלי ISO 27001?
כן. הרבה לקוחות מקבלים Evidence Pack מקצועי גם בלי תעודה רשמית — במיוחד סטארטאפים בצמיחה, כשהלקוח מבין שהבסיס בנוי טוב.
מה ההבדל בין שאלון אבטחה לביקורת ספק רשמית?
שאלון הוא הצהרה כתובה. ביקורת רשמית כוללת ראיונות, צילומי מערכת, אימות בקרות והצגת מסמכים. אנחנו מלווים בשניהם.
האם אתם מצליחים גם בשאלונים בנקאיים?
כן. יש לנו ניסיון מעשי בשאלוני בנקאות, ביטוח, רגולציה אירופאית ומסגרות לקוח גדולות. הסוד הוא לדעת איזו שאלה ‘אמיתית’ ואיזו ‘דרישה רגולטורית עקיפה’.
מה עונים על שאלה שהתשובה הכנה עליה היא ״לא״?
עונים ״לא״ — אבל נכון: מציינים את הבקרה המפצה הקיימת, את ההקשר (למשל למה הדרישה פחות רלוונטית לארכיטקטורה שלכם), ולוח זמנים אמין לסגירה אם היא באמת נדרשת. תשובה כזו עוברת ביקורות; ״כן״ פיקטיבי הופך להפרת התחייבות חוזית ופוגע באמון בכל שאר הגיליון.
האם תיקון 13 מחייב אותנו לבדוק את הספקים שלנו?
בפועל כן. נדרשים הסכמי עיבוד (DPA) מול ספקים שמעבדים עבורכם מידע אישי, ותקנות אבטחת המידע מחייבות לפקח על גורמים חיצוניים עם גישה למידע. הדרך הסבירה: דירוג ספקים לפי רגישות המידע, שאלון פרופורציונלי לפי הדירוג, וסקירה תקופתית מתועדת — כך שתהיה לכם תשובה מוכחת גם כשהרשות או לקוח ישאלו.
ביקורות ספקים ושאלוני אבטחת מידע

לקבלת הצעה והערכת זמנים — שיחת היכרות תוך 48 שעות.

ללא עלות, ללא התחייבות. תקבלו תמונת מצב מקצועית והמלצות מעשיות לצעדים הבאים.

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il