Securitate

Ultima actualizare: 28 iunie 2026

Tratăm datele de salarizare și de personal ca pe niște date sensibile, pentru că sunt. Mai jos sunt măsurile tehnice și organizatorice pe care le aplicăm — aceleași descrise în anexa de securitate a Acordului de prelucrare a datelor (DPA). Pentru chestionare de securitate detaliate, scrie la contact@ovelino.com.

Găzduire și localizarea datelor

  • Datele sunt găzduite în Uniunea Europeană — atât aplicația, cât și baza de date, în regiuni din UE.
  • Comunicația este criptată în tranzit (TLS).
  • Singura prelucrare punctuală în afara UE este trimiterea email-urilor printr-un furnizor specializat, pe baza clauzelor contractuale standard (SCC); către acest furnizor nu transmitem CNP, IBAN sau date de sănătate.

Protecția datelor sensibile

  • Câmpurile sensibile (CNP, IBAN, date de sănătate) sunt criptate la stocare.
  • Izolare multi-tenant: fiecare companie își vede strict propriile date, impusă la nivel de bază de date (Row-Level Security), nu doar în interfață.
  • Control de acces pe roluri (RBAC), cu principiul privilegiului minim.

Operare și monitorizare

  • Jurnalizarea acțiunilor sensibile (audit log).
  • Backup zilnic al bazei de date.
  • Protecții la nivel de aplicație: limitarea numărului de cereri (rate-limiting), politici de securitate a conținutului (CSP) și validarea datelor de intrare.

Proceduri

  • Procedură de incidente: la o breșă ce afectează datele unui client, notificăm operatorul fără întârziere nejustificată — din momentul în care avem un grad rezonabil de certitudine că a avut loc un incident — în mod normal în cel mult 48 de ore, cu informațiile cerute de Art. 33 GDPR.
  • Procedură pentru drepturile persoanelor vizate (acces, rectificare, ștergere, opoziție): cererile primite ca împuternicit se redirecționează către compania-operator.
  • Sub-procesatori cu obligații echivalente de protecție a datelor; lista nominală și temeiul transferurilor sunt disponibile la cerere și în Acordul de prelucrare a datelor (DPA).

Vezi și Politica de confidențialitate, Acordul de prelucrare a datelor (DPA) și Termenii și condițiile.