Confidentialitate

Ultima actualizare: 16.04.2026

1. Introducere

SECaaS.tech (denumit in continuare "Platforma", "noi") se angajeaza sa protejeze confidentialitatea si securitatea datelor cu caracter personal ale utilizatorilor sai, in conformitate cu Regulamentul (UE) 2016/679 (Regulamentul General privind Protectia Datelor — GDPR), Legea nr. 190/2018 privind masurile de punere in aplicare a GDPR in Romania si celelalte reglementari aplicabile.

Prezenta Politica de Confidentialitate descrie modul in care colectam, utilizam, stocam si protejam datele dumneavoastra.

2. Operatorul de Date

Operatorul de date cu caracter personal este:

3. Categorii de Date Colectate
3.1 Date de Cont

La inregistrare si utilizarea Platformei, colectam:

  • Nume si prenume
  • Adresa de email
  • Parola (stocata criptat cu bcrypt, cost factor 12)
  • Numele companiei (optional)
  • Numarul de telefon (optional)
  • Planul de abonament si istoricul platilor
  • Data inregistrarii si a ultimei autentificari
3.2 Date de Autentificare Google (OAuth 2.0)

Daca utilizati autentificarea prin Google, primim:

  • Google ID (identificator unic)
  • Numele si adresa de email asociate contului Google

Nu avem acces la parola contului Google si nu stocam token-uri de acces pe termen lung.

3.3 Date de Securitate (Loguri si Alerte)

Prin intermediul agentilor Wazuh instalati pe sistemele dumneavoastra, colectam:

  • Loguri de securitate ale sistemelor de operare (evenimente de autentificare, modificari de fisiere, procese, conexiuni de retea)
  • Alerte de securitate generate de regulile Wazuh (ID regula, nivel severitate, descriere, grupuri)
  • Adrese IP sursa si destinatie implicate in evenimente de securitate
  • Informatii despre agentii instalati (nume, adresa IP, sistem de operare, versiune)
  • Payload-uri brute ale evenimentelor in format JSON

Important: Datele de securitate colectate pot contine incidental date cu caracter personal (nume de utilizator, adrese IP). Aceste date sunt colectate exclusiv in scopul detectarii amenintarilor de securitate cibernetica, in temeiul interesului legitim (Art. 6 alin. 1 lit. f GDPR).

3.4 Date Tehnice
  • Adresa IP de acces la Platforma
  • Cookie-uri de sesiune (strict necesare pentru functionarea Platformei)
  • Informatii despre browser si dispozitiv (din header-ele HTTP standard)
4. Scopurile si Temeiul Juridic al Prelucrarii
ScopTemei Juridic (GDPR)Durata
Crearea si gestionarea contuluiArt. 6(1)(b) — Executarea contractuluiDurata contului + 30 zile
Furnizarea serviciului de monitorizareArt. 6(1)(b) — Executarea contractuluiConform retentiei configurate (30-180 zile)
Detectarea amenintarilor ciberneticeArt. 6(1)(f) — Interes legitimConform retentiei configurate
Generarea de rapoarte de securitateArt. 6(1)(b) — Executarea contractuluiLa cererea Clientului
Comunicari legate de serviciuArt. 6(1)(b) — Executarea contractuluiDurata contului
Respectarea obligatiilor legaleArt. 6(1)(c) — Obligatie legalaConform legislatiei aplicabile
Prevenirea fraudei si abuzuluiArt. 6(1)(f) — Interes legitimDurata contului
5. Stocarea si Securitatea Datelor
5.1 Locatia Stocarii

Toate datele sunt stocate pe servere situate in Uniunea Europeana. Nu transferam date in afara Spatiului Economic European (SEE).

5.2 Masuri de Securitate

Implementam urmatoarele masuri tehnice si organizatorice conform Art. 32 GDPR:

  • Criptare in tranzit: Toate comunicatiile sunt protejate prin TLS/SSL (HTTPS)
  • Criptare parole: Algoritmul bcrypt cu cost factor 12
  • Protectie CSRF: Token-uri anti-falsificare pe toate formularele
  • Autentificare API: Chei API generate criptografic (256-bit)
  • Izolare date: Fiecare Client are acces exclusiv la datele proprii
  • Backup: Copii de siguranta regulate ale bazei de date
  • Monitorizare: Platforma isi monitorizeaza propria infrastructura
  • Politici de parole: Complexitate minima obligatorie, posibilitatea de schimbare fortata
6. Retentia Datelor
  • Alerte de securitate: Stocate conform perioadei de retentie configurate de Client (30, 60, 90 sau 180 de zile). Stergerea se face automat si ireversibil.
  • Tichete si note: Pastrate pe durata contului activ. Sterse la inchiderea contului.
  • Date de cont: Pastrate pe durata abonamentului activ. Dupa inchiderea contului, datele sunt sterse in termen de 30 de zile.
  • Loguri de acces: Pastrate maximum 90 de zile in scopuri de securitate.
  • Date de facturare: Pastrate conform legislatiei fiscale din Romania (minimum 10 ani).
7. Deduplicarea Datelor

Platforma ofera mecanisme de deduplicare configurabile de catre Client:

  • Deduplicare alerte: Alertele identice (aceeasi regula, agent, IP sursa) primite intr-un interval configurabil sunt unite intr-o singura inregistrare cu un contor de aparitii.
  • Deduplicare tichete: Alertele similare de pe acelasi agent nu genereaza tichete duplicate, ci note pe tichetul existent.

Aceste mecanisme reduc volumul de date stocate si contribuie la principiul minimizarii datelor (Art. 5 alin. 1 lit. c GDPR).

8. Partajarea Datelor cu Terti

SECaaS.tech nu vinde, nu inchiriaza si nu partajeaza datele cu caracter personal ale Clientilor cu terti in scopuri comerciale.

Datele pot fi divulgate doar in urmatoarele situatii:

  • Obligatie legala: La solicitarea autoritatilor competente din Romania sau UE (instante, parchet, ANSPDCP, DNSC), in conformitate cu legislatia aplicabila
  • Furnizori de infrastructura: Furnizori de hosting din UE care proceseaza datele exclusiv in numele nostru, pe baza unor acorduri de prelucrare (DPA) conform Art. 28 GDPR
  • Consimtamant explicit: Cu acordul expres al Clientului
9. Cookie-uri

Platforma utilizeaza exclusiv cookie-uri strict necesare pentru functionarea Serviciului:

  • SECAAS_SESS — cookie de sesiune pentru autentificare (expira la inchiderea browserului)

Nu utilizam cookie-uri de marketing, analytics sau tracking. Nu utilizam Google Analytics sau alte instrumente de monitorizare a comportamentului utilizatorilor.

10. Drepturile Dumneavoastra (Art. 15-22 GDPR)

In calitate de persoana vizata, aveti urmatoarele drepturi:

DreptDescriere
Acces (Art. 15)Dreptul de a obtine confirmarea prelucrarii datelor si o copie a acestora
Rectificare (Art. 16)Dreptul de a corecta datele inexacte sau incomplete
Stergere (Art. 17)Dreptul de a solicita stergerea datelor ("dreptul de a fi uitat")
Restrictionare (Art. 18)Dreptul de a restrictiona prelucrarea in anumite situatii
Portabilitate (Art. 20)Dreptul de a primi datele intr-un format structurat (JSON/CSV)
Opozitie (Art. 21)Dreptul de a va opune prelucrarii bazate pe interes legitim
Retragerea consimtamantului (Art. 7)Dreptul de a retrage consimtamantul in orice moment, fara a afecta legalitatea prelucrarii anterioare

Pentru exercitarea acestor drepturi, ne puteti contacta la contact@secaas.tech. Vom raspunde in termen de maximum 30 de zile conform Art. 12(3) GDPR.

11. Incidente de Securitate

In cazul unei incalcari a securitatii datelor cu caracter personal (data breach):

  • Vom notifica Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP) in termen de 72 de ore de la luarea la cunostinta, conform Art. 33 GDPR
  • Vom notifica persoanele vizate afectate fara intarziere nejustificata daca incalcarea prezinta un risc ridicat, conform Art. 34 GDPR
  • Vom documenta incidentul, masurile corective si lectiile invatate
12. Prelucrarea Datelor Minorilor

Platforma nu este destinata persoanelor sub 16 ani. Nu colectam cu buna stiinta date de la minori. Daca identificam astfel de date, le vom sterge imediat.

13. Transferuri Internationale

In prezent, nu efectuam transferuri de date in afara Spatiului Economic European (SEE). In cazul in care acest lucru va deveni necesar in viitor, vom asigura garantii adecvate prin:

  • Clauze contractuale standard aprobate de Comisia Europeana
  • Decizii de adecvare ale Comisiei Europene
  • Alte mecanisme prevazute de Art. 46-49 GDPR
14. Autoritatea de Supraveghere

Daca considerati ca prelucrarea datelor dumneavoastra incalca GDPR, aveti dreptul de a depune o plangere la:

  • ANSPDCP — Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal
  • www.dataprotection.ro
  • anspdcp@dataprotection.ro
  • B-dul G-ral. Gheorghe Magheru nr. 28-30, Sector 1, Bucuresti, Romania
15. Modificarea Politicii

Ne rezervam dreptul de a actualiza prezenta Politica de Confidentialitate. Modificarile substantiale vor fi comunicate prin email sau notificari in Platforma cu minimum 30 de zile inainte de intrarea in vigoare. Data ultimei actualizari este afisata in partea de sus a acestui document.

16. Contact

Pentru orice intrebari sau solicitari legate de protectia datelor cu caracter personal: