1. Măsuri Tehnice și Organizatorice
- Criptare în tranzit (TLS 1.2+) și în repaus pentru baze de date și stocarea fișierelor.
- Izolare strictă a tenanților la granița organizației, aplicată în fiecare cale de acces la date.
- Control al accesului bazat pe roluri, passkeys (WebAuthn) și autentificare în doi pași.
- Jurnale de audit înlănțuite prin hash, append-only, pentru mutațiile sensibile.
- Note contabile postate imutabile (corecții doar prin stornare).
- Scanare automată a dependențelor și patch-uri de securitate.
- Backupuri zilnice cu fereastră continuă de 35 de zile și testarea restaurării.
- Principiul privilegiului minim pentru accesul în producție; tot accesul este jurnalizat.
2. Orientare de Conformitate
Ne aliniem practicile la art. 32 GDPR și monitorizăm obligațiile din cadrul NIS2, transpus în România (OUG 155/2024). Sub-procesatorii sunt selectați cu găzduire în UE și certificări recunoscute (ex. ISO 27001, SOC 2) acolo unde sunt disponibile.
3. Raportare Responsabilă
Dacă crezi că ai găsit o vulnerabilitate, scrie la security@brivio.ro cu detalii de reproducere. Te rugăm să nu accesezi datele altor utilizatori, să nu degradezi serviciul și să nu divulgi public înainte de remediere. Confirmăm în 2 zile lucrătoare, te ținem informat și nu inițiem acțiuni legale pentru cercetarea de bună-credință în cadrul acestor reguli.
- În scop: brivio.ro și subdomeniile sale, API-urile publice.
- În afara scopului: denial of service, inginerie socială, atacuri fizice, servicii ale terților.
- Portul sigur (safe harbor) se aplică doar testării de bună-credință care respectă aceste limite.
4. Răspuns la Incidente
Menținem un proces de răspuns la incidente ce acoperă triajul, izolarea, analiza criminalistică și notificarea. Încălcările datelor personale sunt notificate conform art. 33/34 GDPR și conform APD (notificarea Clientului în 48 de ore de la luarea la cunoștință pentru Datele Clientului afectate).