Politica protecție date

1. Cadrul legal

Această politică detaliază măsurile tehnice și organizatorice aplicate de CAT MODERN Expert Consulting SRL pentru protejarea datelor cu caracter personal pe care le prelucrăm. Politica completează Politica de confidențialitate și se aliniază cu:

• Reg. UE 2016/679 (GDPR)
• Legea 190/2018 (măsuri naționale GDPR)
• Reg. ASF 19/2018 (intermediari în asigurări)
• ISO/IEC 27001 (best practices securitate informații, ca cadru orientativ)

2. Măsuri tehnice de securitate

2.1 Criptare în tranzit

• HTTPS obligatoriu pe toate domeniile (TLS 1.3, certificate Let's Encrypt cu reînnoire automată)
• Header-uri de securitate: HSTS (Strict-Transport-Security), X-Content-Type-Options, X-Frame-Options
• Forțare HTTPS prin redirect 301 pe toate request-urile HTTP

2.2 Stocare datelor

• Baza de date PostgreSQL găzduită pe servere VPS în Uniunea Europeană (România)
• Backup-uri zilnice automate ale bazei de date, păstrate timp de 7 zile (rotație)
• Backup-uri săptămânale și lunare pentru retenție mai lungă (4 săptămânale + 3 lunare)
• Datele sensibile (parole, token-uri API) sunt stocate hash-uite cu algoritm modern (bcrypt)

2.3 Acces restricționat

• Acces administrativ la baza de date și la sistemele de management restrâns la personalul autorizat
• Autentificare cu parole complexe (minimum 12 caractere, mix de tipuri)
• Acces SSH la servere doar prin chei criptografice (NU parolă), cu fail2ban activ împotriva atacurilor de brute force
• Firewall UFW activ — porturi deschise restrânse la minimul necesar (22, 80, 443, 8000)

2.4 Logare și audit

• Log-uri tehnice ale activității pe site (request-uri, erori, accesări) pentru maximum 90 de zile
• Audit log Strapi pentru modificările entitățiilor sensibile
• Monitorizare automată a disponibilității serviciilor

3. Măsuri organizatorice

3.1 Personal autorizat

• Acces la datele personale acordat strict pe baza principiului "need-to-know"
• Personalul cu acces este informat despre obligațiile GDPR și semnează acord de confidențialitate
• Persoană responsabilă cu protecția datelor desemnată: Alexandru Trufin

3.2 Furnizori și subcontractanți

• Furnizorii de servicii care procesează datele în numele nostru (ex. Resend pentru email, Cloudify pentru hosting) sunt selectați pe baza garanțiilor GDPR oferite
• Contracte de prelucrare a datelor (DPA) sunt încheiate cu fiecare furnizor relevant
• Lista furnizorilor activi este disponibilă la cerere la office@asigurari-profesionale.ro

4. Notificarea breach-urilor

În cazul unui incident de securitate care implică datele personale, urmăm procedura GDPR:

1. Identificare și conținere — în maximum 24 de ore de la detectare
2. Notificare ANSPDCP — în maximum 72 de ore de la detectarea breach-ului, conform Art. 33 GDPR
3. Notificare persoanele afectate — fără întârziere nejustificată, dacă breach-ul reprezintă risc ridicat pentru drepturile lor
4. Document intern al incidentului, măsurilor luate, și măsurilor preventive ulterioare

Conținutul notificării include:

• Natura breach-ului (categorii și număr aproximativ de persoane afectate)
• Datele afectate
• Consecințele probabile
• Măsurile luate sau propuse pentru a-l aborda

5. Reține-uri operaționale

• Test restore backup — verificare periodică a integrității backup-urilor (recomandare ISO 27001)
• Patch management — actualizare regulată a sistemelor și dependențelor cu vulnerabilități de securitate cunoscute
• Review periodic al permisiunilor și acceselor (minimum anual)

6. Cooperare cu autoritățile

În cazul unor solicitări legitime din partea autorităților (ASF, ANSPDCP, instanțe judecătorești), Operatorul colaborează strict în limitele legii. Solicitările sunt verificate pentru autenticitate și legalitate înainte de transmiterea oricăror date.

7. Drepturile dvs.

Pentru exercitarea drepturilor GDPR (acces, rectificare, ștergere, portabilitate, opoziție), consultați Politica de confidențialitate sau contactați direct office@asigurari-profesionale.ro.

---

Data ultimei actualizări: 29 aprilie 2026

Pentru orice întrebare legată de măsurile noastre de protecție a datelor, contactați-ne la office@asigurari-profesionale.ro.