Protecția datelor și securitatea IT pentru aplicația iFlow
Protecția datelor și a informațiilor este o parte esențială din serviciile oferite de aplicația iFlow. Am implementat și continuăm să elaborăm măsuri tehnice și organizatorice pentru a asigura procesarea sigură a informațiilor.
Ne obligăm să respectăm reglementările în vigoare privind prelucrarea datelor cu caracter personal și, în special, Regulamentul nr. 2016/679 (Regulamentul general privind protecția datelor cu caracter personal - GDPR).
Criptare & Anonimizare
Datele personale pe care aplicația iFlow le transmite unui client sau altor platforme sunt criptate Transport Layer Security (TLS), în special HTTPS.
Confidențialitate
iFlow utilizează servicii internaționale (în UE) pentru găzduirea software-ului său. Centrele de date utilizate sunt certificate ISO/IEC 27001.
Recuperabilitate
iFlow face back-up zilnic la toată baza de date. Acesta este pornit de programul „cron” („cron job”) seara când aplicația are un număr redus de utilizatori activi.
Cuprins
Informații generale privind protecția datelor
Vă rugam să transmiteți un e-mail pe adresa [email protected] Vă sugeram ca e-mailul să conțină următoarele informații (dacă este cazul):
iFlow are un responsabil pentru protecția datelor. În momentul în care apare o problemă, responsabilul preia sesizarea, cercetează și oferă un răspuns. Pentru întrebări legate de protecția datelor la iFlow, puteți să ne contactați pe [email protected]
Toți angajații iFlow sunt obligați să păstreze confidențialitatea datelor și protecția datelor în general și sunt conștienți de consecințele oricărei încălcări. Aceștia au semnat un contract de confidențialitate, în care se menționează ce reprezintă datele cu caracter personal și care sunt consecințele.
În cazul puțin probabil al unei încălcări a securității datelor la iFlow, în cazul în care datele cu caracter personal ale unui client sunt afectate și încălcarea este de așa natură încât să implice un risc pentru drepturile și libertatea clientului, iFlow va notifica imediat clientul în cauză, pentru a le permite să își îndeplinească obligația legală de a informa autoritatea de reglementare și persoanele în cauză.
Da, protecția datelor este un element integral al strategiei noastre privind produsele. Prin urmare, chiar și în etapa de dezvoltare a caracteristicilor noastre, respectăm cu atenție principii precum economia datelor și folosim măsuri de ultimă generație pentru a asigura un nivel adecvat de protecție.
Am revizuit setările implicite ale întregii aplicații și le-am adaptat pentru a oferi cel mai înalt nivel posibil de protecție a datelor, asigurând în același timp ușurința în utilizare, totul bazat pe GDPR.
În plus, setările sunt, în general, toate adaptabile la nevoile individuale ale clientului. Pentru a asigura în mod continuu acest lucru, am definit, de asemenea, un proces de alimentare permanentă a cerințelor legale în procesul de dezvoltare a produsului și de revizuire a aplicației în mod corespunzător.
Suntem în conformitate cu cerințele esențiale ale GDPR UE în prezent. Acestea includ, în plus față de prevederile art. 25 din GDPR UE privind protecția datelor prin concepție și implicit, sprijinirea clientului în respectarea drepturilor persoanelor vizate, cum ar fi dreptul de a obține ștergerea datelor cu caracter personal, precum și drepturile de acces și de portabilitate a datelor (capitolul 3 din GDPR UE).
Acest lucru permite clientului să șteargă datele solicitanților fie automat, fie manual, precum și să blocheze sau să șteargă complet și sigur datele angajaților.
Criptare & Anonimizare
Da, orice date personale pe care aplicația iFlow le transmite unui client sau altor platforme trebuie să fie criptate folosind transport Layer Security (TLS), în special HTTPS. Acest lucru necesită stabilirea unei conexiuni securizate între cei doi parteneri de comunicare (client și server) înainte ca orice date să poată fi transmise.
Pentru criptarea bazei de date folosim algoritmul AES cu o cheie de 256 biți generată dintr-o parolă cu algoritmul SHA-256 implementat în „7zip”.
Confidențialitate & Integrare
iFlow utilizează serviciile unei companii internaționale, situată în Germania pentru găzduirea software-ului său.
Centrele de date utilizate sunt certificate ISO/IEC 27001 și, astfel, îndeplinesc cerințele noastre ridicate pentru securitatea fizică a datelor clienților noștri.
Ca regulă generală, nici personalul din centrele de date, nici angajații companiei de servere nu au acces la datele dumneavoastră.
În ceea ce privește iFlow, numai echipa noastră DevOps (responsabilă de servere) și echipa noastră tehnică, precum și echipa de suport clienți (responsabilă de sistemele clienților) vor accesa datele atunci când este necesar, pentru a ajuta la crearea inițială a unui cont, precum și la prelucrarea cererilor de servicii. Drepturile de acces sunt acordate pe baza principiului necesității de a cunoaște și sunt documentate. În plus, accesul la sistemele clienților este înregistrat.
Accesul se acordă numai prin intermediul unor conturi de utilizator personalizate, fiecare dintre acestea fiind clar alocat unei persoane. În plus, există posibilitatea de a activa funcția de 2 Factor Authentication ca o măsură suplimentară de protecție a contului.
Înregistrarea are un nume de utilizator și o parolă, aceasta din urmă trebuind să conțină caractere diferite: litere, cifre și caractere speciale. În plus, recomandăm clienților noștri să utilizeze autentificarea cu doi factori pentru a obține un nivel mai ridicat de protecție.
Drepturile de acces sunt, în general, concepute pentru a îndeplini cerințele art. 24 din GDPR UE privind protecția datelor în mod implicit. Acest lucru înseamnă că toți angajații cu conturi de utilizator nou create nu au implicit drepturi dincolo de editarea propriului profil. În calitate de client, puteți gestiona acordarea drepturilor de acces conform protocolului dvs.
Disponibilitate și capacitate
Pentru a spori siguranța serverului am ales ca acesta să nu comunice direct cu toate calculatorele din internet, ci să comunice folosind serviciul de proxy „CloudFlare”. Serviciul acesta oferă protecție la atacurile cunoscute, inclusiv atacuri de tipul „Denial-of-service” și cel mai important: ascunde locația și IP-ul real al serverului.
Recuperabilitate
iFlow va face back-up zilnic. Backup-ul zilnic este pornit de programul „cron” („cron job”) seara când aplicația are un număr redus de utilizatori activi.
Back-up-ul sistemelor de baze de date sunt stocate exclusiv în formă criptată. Asta înseamnă că nu este necesar ca beneficiarul (clientul) să efectueze propriile copii de siguranță. Se efectuează teste periodice de restaurare, pentru a se asigura că informațiile au fost stocate corect și pot fi restaurate dacă este necesar.
Limitări
Clientul este și rămâne proprietarul și operatorul datelor în sensul art. 24 din GDPR UE. În special, aceasta înseamnă că clientul este responsabil pentru respectarea drepturilor persoanelor vizate (capitolul 3 din GDPR UE). iFlow este procesatorul de comenzi și, în această capacitate, prelucrează datele dvs. exclusiv la instrucțiunile dvs. și în scopurile prevăzute în acordul de prelucrare a datelor.
La încetarea relației de afaceri, persoanele autorizate în mod corespunzător de către client pot solicita livrarea datelor într-un format digital.
La 30 de zile de la încheierea acordului, datele sunt apoi șterse irecuperabil, sau se pot șterge la cerere în 2 zile lucrătoare. În cazul puțin probabil ca iFlow să își oprească serviciile, această procedură rămâne, în principiu, neschimbată, deoarece clientul este proprietarul datelor și iFlow este doar un procesor de comandă și nu va dispune astfel de date cu caracter personal în orice alt mod.
