Măsuri tehnice și organizatorice (TOMs)

Măsuri conform art. 32 GDPR care asigură securitatea prelucrării datelor cu caracter personal pe platforma NISD2.eu.

Ultima actualizare: iunie 2026.

Prezentare generală

Acest document descrie măsurile tehnice și organizatorice efectiv implementate de Kardashev Catalyst UG (haftungsbeschränkt) în calitate de operator al platformei NISD2.eu. Este un inventar onest, nu o listă de dorințe. Enumerăm doar ceea ce există deja.

Măsurile sunt aliniate cu IT-Grundschutz (BSI) și vor fi extinse pe măsură ce platforma crește.

Găzduire în UE

Prelucrarea de producție a datelor cu caracter personal are loc exclusiv în interiorul UE:

  • Serverele de aplicație și baza de date PostgreSQL: Hetzner Online GmbH, centrul de date Falkenstein/Nürnberg, Germania
  • Stocarea documentelor de dovadă încărcate: AWS S3, regiune UE
  • Nu există prelucrare de date de producție în afara UE. Subserviciile din SUA (Resend pentru e-mailuri tranzacționale, xAI pentru precompletarea opțională cu IA) prelucrează doar datele necesare funcției lor.
Criptare (art. 32 alin. (1) lit. (a) GDPR)
  • Criptarea transportului: TLS pentru toate conexiunile la platformă (HTTPS)
  • Criptare în repaus: criptare pe partea de server AWS S3 (AES256, setată explicit la fiecare încărcare prin PutObject); datele PostgreSQL pe infrastructura Hetzner
  • Credențialele și cheile API sunt gestionate prin variabile de mediu ale serverului, nu sunt stocate în codul sursă sau în baze de date
Confidențialitate (art. 32 alin. (1) lit. (b) GDPR)

Măsuri care asigură confidențialitatea:

  • Controlul accesului fizic: centrele de date ale furnizorilor de găzduire (Hetzner, AWS) dețin certificări ISO 27001
  • Măsuri privind personalul: accesul la sistemele de producție și la datele cu caracter personal este limitat la un grup restrâns, nominalizat, obligat la confidențialitate. Accesul respectă principiul privilegiului minim și este revocat la încetarea unui rol.
  • Autentificare: exclusiv prin Google OAuth 2.0; nu se stochează parole pe platformă. MFA pentru utilizatori este asigurată prin contul lor Google
  • Permisiuni bazate pe roluri: administrator, evaluator, membru; aplicate la nivelul aplicației prin middleware tRPC
  • Izolare multi-tenant: fiecare interogare care conține date filtrează la nivelul bazei de date după ID-ul companiei utilizatorului autentificat; nu există fonduri de date comune între clienți
  • Nicio parolă în text clar pe platformă. Autentificarea este exclusiv bazată pe OAuth
Integritate (art. 32 alin. (1) lit. (b) GDPR)
  • Controlul introducerii datelor: pistă de audit a tuturor modificărilor, care înregistrează ID-ul utilizatorului, acțiunea, tipul entității, marca temporală, adresa IP, agentul de utilizator și valorile înainte/după
  • Detectarea manipulării pistei de audit: fiecare rând de audit poartă o sumă de control SHA-256 asupra conținutului său, astfel încât modificările unui rând să fie detectabile
  • Controlul transferului: transmiterea datelor doar prin TLS; toate punctele finale autentificate necesită o sesiune validă
  • Documentele de dovadă: locația de stocare și metadatele sunt scrise la încărcare; un hash SHA-256 opțional furnizat de client poate fi stocat alături de fișier
  • Mecanismul de aprobare: în momentul aprobării, starea cerinței este surprinsă într-un tabel de istoric al aprobărilor ale cărui intrări formează un lanț SHA-256 (suma de control a fiecărei intrări o acoperă pe cea anterioară). Manipularea istoricului este detectabilă de la un capăt la altul
Disponibilitate (art. 32 alin. (1) lit. (b) GDPR)
  • Copii de rezervă ale bazei de date conform setărilor implicite ale serviciului Hetzner Cloud; detalii despre configurația curentă a copiilor de rezervă sunt disponibile la cerere
  • Stocarea documentelor de dovadă în AWS S3 cu garanțiile de durabilitate a obiectelor oferite de AWS
  • Limitarea ratei pentru încercările de autentificare, punctele finale publice (verificarea aplicabilității, portalul furnizorilor) și punctele finale autentificate cu consum intens de resurse (exporturi PDF, generarea de certificate)
  • Fișierele încărcate sunt limitate la 50 MB per fișier
  • Monitorizarea disponibilității: starea operațională a platformei este monitorizată continuu și vizibilă public la nisd2.eu/status.
Procedură de revizuire periodică (art. 32 alin. (1) lit. (d) GDPR)
  • Aceste TOMs sunt revizuite atunci când sunt declanșate de un eveniment și cel puțin o dată pe an
  • Actualizări ale dependențelor și ale bibliotecilor relevante pentru securitate: Dependabot este activat pentru a aduce la suprafață patch-urile de securitate și actualizările de versiune sub formă de pull request-uri, cu o cadență săptămânală
  • Obligații de raportare: încălcările securității datelor cu caracter personal vor fi raportate autorității de supraveghere competente în termen de 72 de ore conform art. 33 GDPR
  • Practica de dezvoltare: modificările de cod trec prin pull request-uri; verificările de tip în modul strict TypeScript sunt impuse; teste automate țintite acoperă logica critică pentru securitate (de exemplu clasificarea aplicabilității)
Subîmputerniciți

Toți subîmputerniciții sunt obligați prin contracte conform art. 28 GDPR. Lista completă se află în documentul DPA.

Vezi lista completă a subîmputerniciților (DPA)

Contact pentru protecția datelor

Întrebările despre aceste TOMs sau despre prelucrarea datelor noastre trebuie trimise la:

contact@nisd2.eu