🛡️ SECURITATE & CONFORMITATE (SECURITY & COMPLIANCE)

Document care descrie Măsurile Tehnice și Organizaționale (TOMs) aplicate platformei GIA Connect

1. Introducere și Angajament

Securitatea datelor clienților și a oaspeților este o prioritate absolută pentru GIA Connect. Acest document descrie Măsurile Tehnice și Organizaționale (TOMs) pe care le-am implementat pentru a asigura confidențialitatea, integritatea și disponibilitatea datelor prelucrate în numele Operatorilor (Proprietarilor de unități de cazare), în conformitate cu GDPR, DPA și cele mai bune practici din industrie.

2. Arhitectura Sistemului și Măsuri Generale

2.1 Infrastructura de Găzduire

  • Platforma este găzduită în centre de date cu certificări recunoscute la nivel internațional (de ex. ISO 27001), majoritatea fiind situate în Spațiul Economic European (SEE).
  • Utilizăm servicii de cloud/hosting care asigură protecție perimetrală (firewall-uri, DDoS mitigation) și securitate fizică (control acces biometric, monitorizare 24/7).

2.2 Criptare (Encryption)

  • Criptare în Tranzit: Toate comunicațiile către și dinspre platformă (website, API, Extranet) sunt criptate folosind protocolul TLS 1.2 sau superior (HTTPS).
  • Criptare la Repaus: Datele sensibile (ex. informații de autentificare) sunt stocate criptat în baza de date. Datele de rezervare sunt protejate de măsuri de securitate la nivel de bază de date.

2.3 Backup și Redundanță

  • Sistemul beneficiază de mecanisme de **backup regulat și automatizat** al datelor.
  • Copii de rezervă sunt stocate redundant și testate periodic pentru a asigura capacitatea de restaurare în caz de dezastru.
  • Arhitectura este concepută pentru a asigura o toleranță la eroare (failover) pentru a minimiza timpul de nefuncționare.

3. Managementul Accesului și Autentificare

3.1 Controlul Accesului (Role-Based Access Control - RBAC)

  • Accesul la datele clienților (Oaspeților) și la sistemele interne este strict limitat pe baza principiului **"need-to-know"** (necesitatea de a cunoaște) și este controlat prin roluri (RBAC).
  • Personalul nostru are acces doar la acele sisteme și date care sunt esențiale pentru îndeplinirea sarcinilor de suport sau operare.

3.2 Securitatea Contului Utilizator

  • Parolele utilizatorilor (Proprietari/Administratori) sunt stocate folosind algoritmi de hash puternici (de ex. Bcrypt sau Argon2).
  • Platforma suportă autentificarea multifactorială (MFA), acolo unde este necesar, pentru accesul la extranet.
  • Sesiunile utilizatorilor sunt gestionate securizat, cu expirare automată după o perioadă de inactivitate.

4. Managementul Vulnerabilităților și Răspunsul la Incidente

4.1 Monitorizare și Audit

  • Logarea detaliată a evenimentelor de securitate (audit log) este activată pentru a urmări modificările critice ale datelor și accesul la sistem.
  • Sistemele sunt monitorizate continuu pentru a detecta activități suspecte, intruziuni sau anomalii.

4.2 Testare de Securitate

  • Se efectuează periodic scanări de vulnerabilități (Vulnerability Scanning) și, după caz, teste de penetrare (Penetration Testing) de către echipe interne sau terți specializați.
  • Toate vulnerabilitățile identificate sunt prioritizate și remediate în cicluri de dezvoltare scurte.

4.3 Răspunsul la Incidente

  • Avem proceduri documentate de Răspuns la Incidente (Incident Response Plan) care definesc pașii de urmat în caz de breșă de securitate.
  • În conformitate cu DPA-ul nostru, Operatorii sunt notificați în cel mai scurt timp posibil cu privire la incidentele care le afectează datele (a se vedea DPA pentru detalii).

5. Securitatea Codului și Dezvoltare

  • Utilizăm practici de dezvoltare securizată (Secure Development Lifecycle - SDL) pentru a minimiza riscurile de securitate încă din faza de codare.
  • Actualizările dependențelor software sunt efectuate regulat pentru a ne asigura că nu folosim componente cu vulnerabilități cunoscute (CVE).
  • Platforma folosește măsuri de protecție împotriva atacurilor web comune (ex: Injections, XSS, CSRF, etc.).

6. Confidențialitatea Personalului și Conștientizare

  • Toți angajații și contractorii cu acces la datele clienților sunt obligați să semneze un Acord de Confidențialitate (NDA).
  • Personalul primește training periodic în materie de securitate a informațiilor și protecția datelor (GDPR).

7. Contact Securitate (Raportare Vulnerabilități)

Dacă sunteți un cercetător în domeniul securității și ați descoperit o vulnerabilitate în platforma GIA Connect, vă rugăm să ne contactați imediat conform politicii noastre de dezvăluire responsabilă.

📩 Email dedicat pentru raportarea vulnerabilităților: security@giabooking.com