Politica de Securitate și Notificarea Breșelor
Ultima actualizare: Februarie 2026 · Versiunea 1.0
1. Introducere
Lioran AiRT se angajează să protejeze datele personale și datele medicale ale utilizatorilor platformei Stratix. Această politică descrie măsurile tehnice și organizatorice de securitate implementate, precum și procedura de gestionare a incidentelor de securitate (breșe de date), conform Regulamentului (UE) 2016/679 (GDPR), în special articolele 32, 33 și 34.
2. Măsuri tehnice de securitate
2.1. Criptare
- Transmisie: toate conexiunile utilizează TLS 1.3 (HTTPS). Nu sunt acceptate conexiuni nesecurizate.
- Stocare: datele sensibile (date medicale, parole) sunt criptate în repaus utilizând AES-256.
- Baza de date: conexiunile la PostgreSQL folosesc SSL/TLS obligatoriu.
2.2. Autentificare și autorizare
- Autentificare prin furnizori OAuth 2.0 (Google, Apple) sau magic link — fără stocare de parole pe server
- Sesiuni JWT cu durata limitată și reîmprospătare automată
- Control de acces bazat pe roluri (RBAC): ADMIN, MEDIC, PACIENT
- Verificare la nivel de rută (middleware) pentru fiecare cerere
2.3. Infrastructură
- Hosting: Vercel (certificat SOC 2 Type II, ISO 27001)
- Baza de date: Neon PostgreSQL (replicare automată, backup-uri zilnice, criptare la nivel de disc)
- Monitorizare: Sentry pentru erori și performanță, cu filtrarea datelor sensibile (PII scrubbing)
- Dependențe: audit automat de securitate la fiecare build
3. Măsuri organizatorice
- Principiul minimizării datelor: colectăm doar datele strict necesare funcționării platformei
- Principiul need-to-know: accesul la date medicale este limitat la personalul autorizat
- Pseudonimizare: datele utilizatorilor sunt anonimizate în loguri și rapoarte interne
- Instruirea echipei: toți membrii echipei cu acces la date sunt instruiți privind protecția datelor personale
- Revizuire periodică: politicile de securitate sunt revizuite semestrial
4. Clasificarea incidentelor de securitate
| Nivel | Descriere | Exemple | Termen răspuns |
|---|---|---|---|
| Critic | Acces neautorizat la date medicale sau personale | Breșă de bază de date, compromitere API keys | Imediat (max 4 ore) |
| Ridicat | Vulnerabilitate cu potențial de exploatare | Injection SQL, XSS, escaladare privilegii | 24 ore |
| Mediu | Anomalie de securitate fără acces confirmat la date | Tentativă de brute-force, rate limiting declanșat | 72 ore |
| Scăzut | Problemă minoră fără impact asupra datelor | Dependență vulnerabilă fără exploatare activă | 30 zile |
5. Procedura de notificare a breșelor (Art. 33 și 34 GDPR)
5.1. Notificarea ANSPDCP (Art. 33)
- Termen: Maximum 72 de ore de la conștientizarea breșei
- Conținut: Natura breșei, categoriile de date afectate, numărul estimat de persoane vizate, consecințele probabile, măsurile luate sau propuse
- Canal: Notificare electronică la ANSPDCP prin formularul oficial disponibil pe www.dataprotection.ro
- Excepție: Nu se notifică dacă breșa nu prezintă un risc pentru drepturile și libertățile persoanelor
5.2. Notificarea utilizatorilor afectați (Art. 34)
- Când: Dacă breșa prezintă un risc ridicat pentru drepturile și libertățile persoanelor fizice
- Cum: Email individual către fiecare utilizator afectat, în limba română
- Conținut: Descrierea breșei în limbaj clar, datele afectate, ce am făcut pentru remediere, ce poate face utilizatorul pentru protecție
- Termen: Fără întârzieri nejustificate, de regulă în 48 de ore de la evaluarea impactului
5.3. Documentare
Toate incidentele de securitate sunt documentate în registrul intern de breșe, indiferent dacă sunt notificate sau nu. Registrul conține: data detectării, natura breșei, datele afectate, măsurile luate, decizia de notificare/nenotificare și motivarea acesteia.
6. Drepturile utilizatorilor în caz de breșă
- Dreptul de a fi informat prompt și transparent despre incident
- Dreptul de a solicita informații suplimentare despre impact
- Dreptul de a solicita ștergerea datelor (Art. 17 GDPR)
- Dreptul de a depune plângere la ANSPDCP
- Dreptul la despăgubiri pentru prejudiciul suferit (Art. 82 GDPR)
7. Contact securitate
Pentru raportarea unei vulnerabilități sau a unui incident de securitate:
- Email securitate: stratix@lioran.org
- DPO: dpo@lioran.org
- ANSPDCP: www.dataprotection.ro
Raportările responsabile de vulnerabilități (responsible disclosure) sunt apreciate și nu vor fi sancționate.