POLITICA DE CONFIDENTIALITATE
Softeh Plus considera ca este important sa asigure confidentialitatea datelor cu caracter personal furnizate de dumneavoastra.
Prezenta Politica de Confidentialitate are rolul de a va informa cu privire la modul in care prelucram, respectiv colectam, utilizam, facem schimb de si protejam datele dvs. cu caracter personal, atunci cand utilizati produsele si serviciile noastre, site-ul nostru, precum si atunci cand interactionati in orice modalitate cu Softeh Plus.
1. Principiile ce guverneaza prelucrarea datelor cu caracter personal
- Colectarea datelor dvs. se va face numai in scopurile specificate, explicite si legitime. Datele nu vor fi
procesate catre terti intr-o maniera incompatibila cu acele scopuri. - Datele personale vor fi exacte, iar acolo unde este necesar, actualizate.
- Procesarea datelor dvs. se va face intr-o maniera legala, corecta si transparenta.
- Toate datele dvs. vor fi pastrate confidential si stocate intr-o maniera ce asigura securitatea necesara.
- Datele dvs. nu vor fi distribuite persoanelor terte decat in cazul in care acest lucru este necesar in scopul oferirii de servicii conform acordurilor.
- Persoanele vizate au dreptul de a solicita accesul la datele personale, rectificarea si stergerea acestora,impotrivirea sau restrictionarea de la procesarea datelor, cat si de la dreptul de portabilitate al datelor.
- Ce sunt datele cu caracter personal?
Date cu caracter personal reprezinta orice informatie care poate fi legata de o persoana fizica identificata sau identificabila (persoana vizata).Datele personale includ toate tipurile de informatii directe sau indirecte (si anume utilizate in legatura cu alte date) ce se refera la persoana vizata, cum ar fi nume, data de nastere, adrese, adrese de e-mail, numere de telefon.
Asigurarea securitatii datelor cu caracter personal in cadrul sistemelor informatice
Securizarea accesului in aplicatii
- Politica de parole:
Configurari prin care se poate implementa o politica de parole adecvata in vederea asigurarii unui nivel de securitate a datelor cu carater personal conform General Data Protection Regulation (GDPR) in aplicatiile Softeh:
a) Toate parolele sunt criptate cu un algoritm standard. Nici macar administratorul aplicatiei nu are dreptul sa decripteze si sa vizualizeze parolele in clar.
b) Daca un utilizator isi uita parola atunci administratorul sistemului va reseta parola in sistem, va transmite userului noua parola urmand ca acesta sa o modifice din nou cu o parola numai de el stiuta.
Administratorul poate modifica parola unui utilizator in fereastra obisnuita Drepturi utilizatori.
c) In sistemul informatic parolele utilizatorilor trebuie sa respecte urmatoarele reguli (exista posibilitatea de definire a acestor reguli): – Parola trebuie sa contina minim x caractere, unde x trebuie sa poata fi configurat de catre administratorul de sistem (initial setat cu valoarea 9).
– Parola nu trebuie sa se repete decat dupa cel putin y variante de parole utilizate. Acest y va fi configurat de catre administraror.
– Parola trebuie sa contina caractere din cel putin 3 grupe [(a-z)(A-Z)(0-9)(!-+)]
– Parola nu trebuie sa contina numele si/sau prenumele utilizatorului
– Parola are setat un numar de zile de valabilitate (setare configurabila de administratorul de sistem). Dupa expirarea parolei utilizatorul va fi obligat sa isi schimbe parola introducand userul si vechea parola (cea expirata) precum si noua parola cu confirmarea acesteia si respectarea regulilor de mai sus ( lungime, caractere continute, sa nu contina userul, sa nu fie identica cu o parola mai veche, etc.)
– Setarea timpului de inactivitate in aplicatie. Dupa un anumit nr. de minute / secunde in care utilizatorul nu utilizeaza aplicatia se va solicita reintroducerea parolei.
d) Toti utilizatorii isi pot modifica parola fara a fi nevoie de interventia administratorului de sistem. (noua parola va trebui sa respecte politica de parole stabilita)
e) Optiune “Atentionare fereastra date personale”. La activarea acesteia, utilizatorul va fi atentionat cand acceseaza o fereastra ce contine date personale. (pentru aplicatiile care necesita acest lucru)
Structurarea datelor si drepturile utilizatorilor
Structurarea datelor se va putea defini prin alocarea de drepturi de acces limitate la anumite categorii de date cu caracter personal.
Fiecare utilizator va accesa aplicatia sau modulele aplicatiei folosind credentiale unice (nume utilizator si parola conform politicii de parole stabilite). Fiecare utilizator va avea alocate anumite drepturi privind accesul (vizualizare, modificare) la ecranele aplicatiilor care contin date cu caracter personal in functie de tiupul activitatii desfasurate si in conformitate cu fisa postului.
Anonimizarea datelor
Softeh pune la dispozitiei mecanisme privind anonimizarea datelor pentru toate bazele de date care pot contine date cu caracter personal.
Anonimizarea se va face asupra datelor cu caracter personal in scop de creare mediu de test sau ca suport pentru depanare.
Pseudo-anonimizarea datelor se va realiza prin pastrarea unei legaturi de refacere a datelor anonimizate. Datele anonimizate si „cheia” de recuperare a datelor anonimizate vor fi salvate in zone diferite.
Jurnalizarea prelucrarilor de date
Softeh a dezvoltat mecanisme privind functionalitatea de trace pe tabelele care pot contine date cu caracter personal dar si pe cele care contin date sensibile (de exemplu date pacienti, date medicale, tranzactii etc). Astfel, se va putea avea o evidenta asupra utilizatorilor care efectueaza operatiuni asupra datelor cu caracter personal.
Accesul la bazele de date
Accesarea bazelor de date se face exclusiv prin intermediul aplicatiilor / modulelor de aplicatii si doar utilizand user si parola si in contextul drepturilor alocate respectivului utilizator.
Accesul direct asupra bazei de date se poate face doar de catre personalul desemnat de beneficiar, conform drepturilor de acces stabilite si doar utilizand si parola (doar reprezentanti din cadrul departamentului IT).
Se va crea un mediu de test pe care bazele de date utilizate vor contine date anonimizate. Accesul consultantilor Softeh se va face doar asupra mediului de test si doar cu acordul personalului IT desemnat si doar la solicitarea beneficiarului in vederea asigurarii mentenantei sistemului informatic sau in vederea testarii unor versiuni noi de aplicatii inainte de lansarea acestora in productie. Softeh nu va avea acces pe mediul de productie al beneficiarului.
Asigurarea unui nivel de securitate adecvat privind accesul pe serverul unde se afla baza de date de productie va fi asigurat de catre beneficiar prin personalul IT desemnat.