Aprobat
02.07.2020

Administrator
„SIMPALS DEV" S.R.L.
dl. Roman ȘTIRBU


Regulamentul privind prelucrarea informațiilor ce conțin date cu caracter personal în cadrul sistemului de evidență id.md

1. Descrierea operatorului și sistemului de evidență. Locația. Obiective de prelucrare

1.1. S.R.L. Simpals DEV, administratorul site-lui ID.md, este un operator de date cu sediul social la adresa Calea Orheiului 28/1, Chișinău, Republica Moldova, responsabil de prelucrarea datele personale a utilizatorilor site-lui ID.md. Datele prelucrate în cadrul acestui sistem de evidență sunt prevăzute atît în prezentul Regulament cît și pe site în Politica de confidențialitate (denumită în mod colectiv "Simpals DEV, companie", "noi", "nouă" sau "noastre" în această Politică).

1.2. ID.md, (în continuare Platforma) reprezintă un site dezvoltat de S.R.L. Simpals DEV care este destinat semnării, schimbului și stocării securizate de documente electronice (conform Legii Nr. 91 din 27-06-2014, privind semnătura electronică și documentul electronic), documentele sunt semnate prin intermediul semnăturii electronice calificate.Procesul respectiv are loc în următorul mod: - Logarea pe platformă a persoanei se efectuează doar dacă deține semnătura electronică și are cabinet personal, logare cu ajutorul platformei Mpass; - Următoarea etapă este cea de încărcare a documentului ce necesită a fi semnat, editarea mesajului către semnatari; adăugarea în listă a persoanelor care urmează a semna/aviza documentul, în ordinea în care trebuie să semneze; - Persoanele care urmează a semna documentul primesc un e-mail/notificare (cu care sunt înregistrați pe platformă) despre faptul că trebuie să semneze (procesul de logare este același); - Aplicarea semnăturii electronice este efectuată prin intermediul platformei guvernamentale Msign. Procesul respectiv poate avea loc atît pe interiorul companiei (intre angajați/departamente) cît și între alte companii/parteneri care dețin Cabinet Personal pe platformă. Accesul in platformă este realizat în baza semnăturii electronice calificate prin intermediul Mpass.

În cadrul companiei, lucrul nemijlocit cu platforma și interacțiunea cu acest sistem de evidență, le au următoarele departamente:
- Departamentul Vânzări, care propun clienților conectarea și suportul necesar pentru accesarea platformei id.md. Drepturile de acces la platformă a angajaților Departamentului Vânzări sunt limitate doar la adăugarea companiei (clientului) noi și persoanei responsabile din cadrul clientului precum și blocarea a accesului pe platformă în caz de folosire frauduloasa sau de neachitare a serviciilor;
- Departamentul Dezvoltare - care realizează modificări și îmbunătățiri a platformei in funcție de solicitările clienților și care au acces la baza de date care este conectată la sistem, departamentul nu are acces la datele clienților;
- Departamentul Juridic – este responsabil de întocmirea contractului cu clientul nou și gestionarea lui ulterioară.
- Administratorii de rețea - care se ocupă de configurarea serverelor și asigurarea securității conexiunii și serviciului.
În orice caz, accesul la platformă se realizează doar în baza unui scop determinat și doar de persoanele identificate, cu logarea obligatorie a acțiunilor pe site. Noi păstrăm cookie tehnic de la useri preluate de la Google și Yandex, informația despre care poate fi găsită în Politica cookies a companiilor nominalizate.

1.3. Datele cu caracter personal conținute în sistemul de evidență ID.md se prelucrează/stochează:
- în format electronic: software – Sistemul de evidență și bazele de date, care sunt stocate pe servere interne din sediul companiei. Serverele se păstrează într-o încăpere securizată cu acces fizic și de la distanță limitat doar pentru angajații Departamentului Tehnic (Administratorii de rețea).

1.4. Mentenanța sistemului de evidență este efectuată de către Departamentul Tehnic (administratori de rețea). În cazul incidentelor de securitate se procedează în conformitate cu Politica de Securitate a datelor in cadrul Simpals DEV, actualizată la data de 25 iunie 2019.

1.5. Obiectivele principale ale prelucrării datelor cu caracter personal (dcp) în cadrul registrului de evidență ID.md sunt disponibilitatea, integritatea şi confidenţialitatea tuturor informaţiilor, inclusiv datelor cu caracter personal prelucrate de Simpals DEV, atît în cadrul prelucrării manuale, cît și sistemelor şi proceselor de tehnologie informațională. Aceasta cuprinde cerinţe şi reguli pentru protecţia tuturor informaţiilor, inclusiv datele cu caracter personal, sistemelor şi proceselor IT împotriva influenţelor naturale, erorilor umane şi tehnice, precum şi împotriva acţiunilor deliberate care pot provoca pagube materiale, respectiv imateriale, sau care pot duce la încălcări ale legislației. Avînd în vedere că siguranţa IT nu poate fi garantată exclusiv cu ajutorul unor sisteme tehnice, prezentul Regulament vizează, de asemenea, aspecte de ordin organizatorico-juridic şi de altă natură.

1.6. Responsabil de prelucrarea informațiilor ce conțin date cu caracter personal în cadrul sistemului de evidență ID.md este desemnat șeful Departamentului Juridic, care este asistat în cazurile necesare de angajații Departamentului Tehnic.

2. DCP colectate de Simpals DEV în cadrul sistemului de evidență. Identificarea și autentificarea utilizatorului sistemului de evidență
2.1. În cadrul sistemului de evidență www.id.md sînt prelucrate următoarele date cu caracter personal (dcp):
  • numele, prenumele;
  • numărul personal de identificare de stat (IDNP);
  • număr telefon mobil;
  • adresa de e-mail;
  • funcția persoanei;
Datele menționate supra sunt obținute în următoarele interacțiuni cu subiecții dcp:

2.2 Date furnizate prin interacțiuni directe

Pentru a crea Cabinetul Personal al utilizatorului pe site-ul id.md, cu acordul persoanei respective sunt colectate următoarele dcp:
- Nume Prenume, adresa de email, numărul de telefon, IDNP, și funcția persoanei din cadrul companiei respective.
Înregistrarea utilizatorului pe platforma www.id.md
Pentru autentificarea utilizatorilor pe id.md sau în timpul procesului de utilizare a serviciilor acordate prin intermediul acestui site, ei pot opta pentru a ne oferi următoarele date personale suplimentare:
- semnătura electronică avansată, care este singura modalitate de autentificare în cadrul platformei id.md și care oferă posibilitatea de a beneficia de serviciile platformei. Accesul este asigurat de Mpass respectiv prelucrarea semnaturii digitale de către noi are loc foarte rar.

În cadrul procedurii de creeare a cabinetului personal pe platforma id.md, prin intermediul persoanei responsabile din partea companiei, după semnarea unui contract de prestări servicii pentru conectare (unde este specificat nemijlocit capitolul de prelucrare a dcp, drepturile și obligatiile), trimite datele necesar obligaorii pentru crearea cabinetului personal: (nume prenume, IDNP, număr de telefon, e-mail și funcția) care în mod automat fac legătura cu semnătura electronică e persoanei care și reprezintă pe viitor un factor de autentificare pe platformă către cabinetul personal.

2.3. Motivul și scopul prelucrării datelor cu caracter personal în cadrul sistemului de evidență id.md

- pentru executarea prevederilor contractului pe care suntem pe punctul de a-l încheia sau l-am încheiat cu utilizatorul;
- pentru a fi posibil de făcut legătura/identificarea corespunzătoare între IDNP-ul persoanei și semnătura electronică a respectivului, care pentru viitor va folosi semnatura electronică pentru logarea în cabinetul personal și de a semna documentele electronice (pentru a se folosi de platformă sigur și conform destinației).
- atunci când prelucrarea dcp este necesară pentru interesele noastre legitime de îmbunătățire a serviciilor și asigurare a unui site sigur și securizat;
- în cazul în care suntem obligați să respectăm o obligație legală sau reglementată;
- În anumite circumstanțe, prelucrăm dcp în temeiul consimțământului utilizatorului.

2.4. Identificarea și autentificarea utilizatorului sistemului de evidență

Se impun limite în privința persoanelor care au dreptul:
a) să vizualizeze informațiile stocate în sistemul de evidență;
b) să copieze, să descarce, să şteargă sau să modifice orice informație stocată.

Toţi angajații din departamentele sus menționate cu drepturi de acces la sistemul de evidență id.md beneficiază de o instruire iniţială în domeniul protecției dcp. Orice activitate de dezvăluire a dcp către terţi este documentată şi supusă unei analize riguroase în prealabil privind scopul și temeiul legal a intențiilor de dezvăluire a unui anumit volum de date cu caracter personal. Orice încălcare a securităţii în ceea ce priveşte sistemul de evidență este supusă documentării, iar persoana responsabilă de realizarea politicii de securitate (Șeful Departamentului Tehnic) este informată în legătură cu acest lucru cît de urgent posibil, în cel mult 3 (trei) ore. Înainte de acordarea accesului în sistem, angajații sînt informaţi despre faptul că folosirea sistemului de evidență este controlată şi că folosirea neautorizată a acestora este sancționată în conformitate cu legislația civilă, contravențională și penală.

3. Modul în care folosim dcp. Interesele noastre legitime și temeiurile juridice pe care ne bazăm în acest sens.
3.1. Pentru acordarea accesului și furnizarea Serviciilor prin site-ul nostru
- pentru crearea inițială cabinetului personal al utilizatorului, folosim prenumele și numele de familie, numărul de telefon, adresa de e-mail și numărul personal de identificare, pentru al identifica în calitate de utilizator în raport cu semnătura mobilă avansată și pentru a acorda accesul la serviciile platformei.
3.2. Pentru a furniza utilizatorilor o platformă sigură și securizată a cabinetului său personal
- utilizăm numărul său de telefon, IDNP, semnătura digitală și adresa electronică pentru a beneficia pe deplin și sigur de serviciile platformei care sunt determinate de acțiunile nemijlocite a utilizatorului ce are acces nemijlocit.
Prelucrăm informațiile de mai sus pentru o executare adecvată a contractului nostru cu utilizatorii, pentru a ne înmbunătăți serviciile și pe baza interesului nostru legitim de a preveni frauda.

Utilizatorii, datele cărora sunt prelucrate în cadrul sistemului de evidență id.md, pot retrage consimțământul în orice moment și gratuit, prin transmiterea unei solicitări către noi, la datele de contact furnizate pe site-ul id.md (fapt menționat în Contractul ce a fost semnat). Toate activitățile de prelucrare efectuate până la momentul retragerii consimțământului rămân valabile.

4. Unde stocăm dcp și pentru cât timp. Auditul securității sistemului de evidență
4.1. Datele pe care le colectăm despre utilizatori vor fi stocate și prelucrate pe servere securizate, pentru a oferi utilizatorilor cea mai bună experiență posibilă.
Vom păstra datele personale pentru o perioadă nelimitată sau atât timp cât este necesar pentru a îndeplini scopurile pe care le-am avut în vedere atunci când a fost semnat contractul, inclusiv în scopul satisfacerii oricăror cerințe de natură legală, contabilă sau de raportare.

4.2. Pentru a determina perioada adecvată de păstrare a datelor cu caracter personal, luăm în considerarea cantitatea, natura și sensibilitatea datelor personale, riscul potențial de vătămare cauzat de utilizarea neautorizată sau divulgarea datelor dumneavoastră personale, scopurile pentru care prelucrăm datele dumneavoastră personale și dacă putem realiza aceste scopuri prin alte mijloace și cerințele legale aplicabile.

Dacă nu există activitate în contul utilizatorului timp de 12 de luni, ne rezervăm dreptul să ștergem contul, inclusiv toate datele personale stocate în cont, ceea ce înseamnă că nu îl v-or mai putea accesa și utiliza. La fel, la expirarea termenelor menționate în prezentul punct, unele datele din sistemul de evidență sânt păstrate în formă arhivată, pe perioada stabilită de Indicatorul documentelor-tip şi al termenelor lor de păstrare pentru organele administrației publice, pentru instituțiile, organizațiile şi întreprinderile Republicii Moldova, aprobat de Serviciul de Stat de Arhivă nr.57 din 27.07.2016.

4.3. Se organizează generarea înregistrărilor de audit a securității de minim 2 ani în sistemul de evidență pentru evenimentele, indicate în lista corespunzătoare, supuse auditului.
Cazurile de deranjament al auditului securităţii în sistemul de evidență sau completării întregului volum de memorie repartizat pentru păstrarea rezultatelor auditului, sînt aduse la cunoștința persoanei responsabile de politica de securitate a datelor cu caracter personal (șefului Departamentului Tehnic, iar după caz și șefului Departament Juridic), care întreprinde măsuri în vederea restabilirii capacităţii de lucru a sistemului de audit. Rezultatele auditului securităţii în sistemul de evidență (operaţiunile de prelucrare a informațiilor şi mijloacele de efectuare a auditului), se protejează contra accesului neautorizat prin aplicarea măsurilor de securitate adecvate și asigurarea confidenţialităţii şi integrităţii acestora.
Durata minimă a stocării rezultatelor auditului securităţii în sistemul de evidență constituie 2 (doi) ani, în scopul asigurării posibilității de folosire a acestora în calitate de probe în cazul incidentelor de securitate, unor eventuale investigații sau procese judiciare. În cazul în care investigările sau procesele judiciare se prelungesc, rezultatele auditului se păstrează pe toată durata acestora.

5. Măsuri tehnice și organizatorice și securitatea prelucrării. Incidente de securitate. Integritatea informației din sistemul de evidență asigurate de Administratorul de rețea

5.1. Toate informațiile pe care le primim despre utilizatori sunt stocate pe servere securizate și am implementat măsuri tehnice și organizatorice adecvate și necesare pentru a proteja datele personale. Administratorii de rețea evaluează în permanență securitatea rețelei și gradul de adecvare al programului său intern de securitate a informațiilor, care este destinat: (a) să ne ajute să asigurăm datele împotriva pierderii, accesului sau divulgării accidentale sau ilegale; (b) să identifice riscurile previzibile în mod rezonabil pentru securitatea rețelei noastre, și (c) să minimizeze riscurile de securitate, inclusiv prin evaluarea riscurilor și prin testare periodică. În plus, parolele de acces și toate informațiile de plată sunt criptate utilizând tehnologia SSL.

5.2. Persoanele care asigură exploatarea sistemului de evidență trec, minimum o dată în an, instruirea cu privire la responsabilităţile şi obligaţiile în cazul executării acţiunilor de gestionare şi reacţionare la incidentele de securitate. Prelucrarea incidentelor de securitate include depistarea, analiza, preîntîmpinarea dezvoltării, înlăturarea lor şi restabilirea securităţii. Se monitorizează şi documentează, în mod permanent, incidentele de securitate în sistemul de evidență. În cazul producerii incidentelor de securitate persoanele responsabile va întreprinde măsurile necesare pentru depistarea sursei de producere a incidentului, va efectua analiza acestuia și va înlătura cauzele incidentului de securitate cu informarea în termen de 72 de ore din momentul producerii incidentului de securitate a Centrului Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova. Totodată, în cadrul controalelor efectuate de Centrul Național pentru Protecția Datelor cu Caracter Personal, persoanele responsabile sînt obligate să ofere suportul necesar și să asigure accesul la informațiile necesare relevante obiectului controlului. Persoanele care se fac vinovate de încălcarea normelor privind obţinerea, păstrarea, prelucrarea şi protecţia informațiilor din sistemul de evidență poartă răspundere civilă, contravențională și penală.

5.3. Masurile de protecție a datelor reprezintă o parte corpolenta a lucrarilor de creare, dezvoltare si exploatare a sistemului informațional de date si vor fi efectuate neîntrerupt de catre persoanele responsabile angajate in cadrul companiei. Protecția datelor sin sistemele informationale de date este asigurata printr-un complex de masuri tehnice si organizatorice de preîntâmpinare a prelucrarii a datelor.
Masurile de protecție a datelor cu caracter personal prelucrate în sistemele informationale de date se înfăptuiescținind-secontdenecesitateaasigurăriiconfidențialitățiiacestormasuri.Înfăptuirea oricărormasuri si lucrari cu folosirea resurselor informationale ale destinatorului este interzisa în cazurile in care nu sunt adoptate si implementate masuri corespunzătoare de protecție a datelor cu caracter personal. Sînt supuse protectiei toate resursele informationale ale deținatorilor de date , care conțin date, inclusiv:

A. suporturile magnetice, optice, laser sau alte suporturi ale informatiei electronice, masive informationale si baze de date;
B. sistemele informationale, retelele, sistemele operationale, sistemele de gestionare a bazelor de date si alte aplicatii, sistemele de telecomunicatii, inclusiv mijloacele de confectionare si multiplicare a documentelor si alte mijloace tehnice de prelucrare a informatiei.

5.6. Protectia datelor in sistemele informationale de date este asigurata in scopul:
- preintimpinarii scurgerii informatiei care contine date cu caracter personal prin metoda excluderii accesului neautorizat la aceasta;
-preintimpinarii distrugerii, modificarii, copierii, blocarii neautorizate a datelor in retelele telecomunicationale si resursele informationalee;
-respectarii cadrului normativ de folosire a sistemelor inforrnationale si a programelor de prelucrare a datelor; - asigurarii caracterului comp let, integru, veridic al datelor cu caracter personal in retelele telecomunicationale si resurselor informationale;
- pastrarii posibilitatilor de gestionare a procesului de prelucrare si pastrare a datelor.

5.7. Protecția datelor cu caracter personal prelucrate in sistemele informationale se efectueaza prin urmatoarele metode:
A. preintimpinarea conexiunilor neautorizate la retelele telecomunicationale si interceptării cu ajutorul mijloacelor tehnice a datelor transmise prin aceste retele;
B. excluderea accesului neautorizat la datele prelucrate;
C. preintirnpinarea actiunilor speciale tehnice si de program, care condiționează distrugerea,
D. preintimpinarea actiunilor intentionate si/sau neintenționate a utilizatorilor interni si/sau externi, precum si a altor angajati ai detinatorului de date cu caracter personal, care condiționează distrugerea, modificarea datelor sau defecțiuni in lucrul complexului tehnic si de program.
5.8. Preintimpinarea scurgerii de inforrnatii care contin date cu caracter personal, transmise prin canalele de legatura, este asigurata prin folosirea metodelor de cifrare a acestei informatii, inclusiv cu utilizarea masurilor organizationale, tehnice si de regim.
5.9. Preintimpinarea accesului neautorizat la informatiile care contin date cu caracter
personal circula sau se pastreaza in mijloace tehnice este asigurata prin metoda folosirii mijloacelor speciale tehnice si de program, criptării acestor informatii, inclusiv prin masurile organizaționale si de regim. 5.10. Preîntâmpinarea distrugerii, modificarii datelor sau defectiunilorin functionarea soft-ului destinat prelucrarii datelor este asgurata prin metoda folosirii mijloacelor de protectie speciale tehnice si de program, inclusiv a programelor licentiate, programelor antivirus, organizarii sistemului de control al securității soft- ului si efectuarea periodica a copiilor de siguranta.
5.11. Ordinea de acces la informatia care contine date , prelucrata in cadrul sistemelor informationale, se stabileste de catre companie in conformitate cu prevederile legislatiei.
5.12. Prin Ordinul Directorului operatorului din 24.07.2019 este numit responsabil de elaborarea, implementarea si monitorizarea respectării prevederilor politicii de securitate a datelor, precum și asigurarea măsurilor tehnice și organizatorice și securitatea prelucrării, examinarea incidentelor de securitate și Integritatea informației din sistemul de evidență șeful Departamentului tehnic, iar în perioada cînd această persoană nu își exercită atribuțiile de serviciu – adjunctul șefului Departamentului tehnic.
5.13. Prin Ordinul Administratorului este numit responsabil de elaborarea, implementarea si monitorizarea respectarii prevederilor politicii de securitate a datelor șeful Departamentului Tehnic și șeful departamentului Juridic . Masurile de securitate emise sunt stabilite conform regulamentelor de securitate ale fiecarui sistem care prelucreaza date. Lista nominala a utilizatorilor, autorizati sa acceseze datele este stabilita prin Ordinul Directorului. Documentatia tehnica cu privire la controalele de securitate este ținută sub forma de registre de persoana responsabila, numita prin Ordinul Directorului. Orarul controalelor de securitate este stabilit de catre persoana numita responsabila. Rapoartele despre incidentele de securitate sunt inregistrate in registrele respective de către persoanele responsabile. Fiecare incident urmează a fi adus la cunoștința conducerii companiei mod de urgență, pentru a putea fi identificata procedura de soluționare a incidentului, dacă el deja nu este prevăzut într-o politică sau regulament deja aprobat.
5.14. Pentru asigurarea măsurilor tehnice și organizatorice și securitatea prelucrării dcp, prevenirea, examnarea incidentelor de securitate și asigurarea integrității informației din sistemul de evidență de către operator au fost aprobate următoarele politici și regulamente interne:
- Angajamentul Administratorului privind implementarea și îmbunătățirea sistemului de management al securității informației din 25.05.2019;
- Politica de utilizare a e-mailului.
- Politica de utilizare a parolelor, care prevede că se utilizează autentificarea multifactoriala, care include parole complexe, cu includerea simbolurilor, literelor, cifrelor sin combinatie complex. In mod obligatoriu fiecare parola conține una sau mai multe litere scrise cu majuscula. Parola nu va conține initialele sau date care pot caracteriza o anumita persoana (data de naștere, adresa, porecla etc.).
- Planul de tratare a riscurilor.
- Politica de restaurare (backup). În cadrul SIMPALS DEV SRL backupurile se efectueaza pe serverul local și server extern a unui prestator de servicii local cu care compania are semnat contract de prestări servicii în acest scop. Indiferent de suportul ales acestea vor fi marcate cu urmatoarele informatii: a) numele sistemului pecares-aefectuacopiadesigurantasicontinutulacesteia;b) datacreăriicopiei;c) tipul de copie (completă, incrementală etc.); d) clasificarea sensibilităţii (siguranţei/securităţii); e) informaţii de contact ale persoanei care a creat copia.
- Politica privind incidentele de securitate care descrie cerinţele şi regulile care trebuie respectate pentru a minimiza impactul incidentelor de securitate. Acestea includ (dar nu sunt limitate la): detectarea programelor de tip virus, vierme informatic etc., folosirea neautorizată a conturilor de acces şi a calculatoarelor în sine, precum şi reclamaţiile privind folosirea improprie a resurselor informatice și a dcp deținute de SIMPALS DEV S.R.L.
- Obiectivele și măsurile de acțiune de referință pentru asigurarea securități informației, aprobate de operator la 25.05.2019:

6. Dispoziții finale
6.1. Prezentul Regulament este revizuit şi ulterior aprobat de către conducerea companiei periodic, însă cel puțin o dată în an, precum și la necesitate. Prezentul Regulament se completează cu prevederile legislației în vigoare. 6.2.Regulamentul este adus la cunoştinţa angajaților responsabili contra semnăturii.

Semnat electronic în baza Legii Nr. 91 din 29.05.2014 privind semnătura electronică şi documentul electronic. Verificarea semnăturii poate fi realizată la adresa https://msign.gov.md