Regulament intern

Aprobat
02.07.2020

Administrator
„SIMPALS DEV" S.R.L.
dl. Roman ȘTIRBU

Regulamentul privind prelucrarea informațiilor ce conțin date cu caracter personal în cadrul sistemului de evidență id.md

1. Descrierea operatorului și sistemului de evidență. Locația. Obiective de prelucrare

1.1. S.R.L. Simpals DEV, administratorul site-lui ID.md, este un operator de date cu sediul social la adresa Calea Orheiului 28/1, Chișinău, Republica Moldova, responsabil de prelucrarea datele personale a utilizatorilor site-lui ID.md. Datele prelucrate în cadrul acestui sistem de evidență sunt prevăzute atît în prezentul Regulament cît și pe site în Politica de confidențialitate (denumită în mod colectiv "Simpals DEV, companie", "noi", "nouă" sau "noastre" în această Politică).

1.2. ID.md, (în continuare Platforma) reprezintă un site dezvoltat de S.R.L. Simpals DEV care este destinat semnării, schimbului și stocării securizate de documente electronice (conform Legii Nr. 91 din 27-06-2014, privind semnătura electronică și documentul electronic), documentele sunt semnate prin intermediul semnăturii electronice calificate.Procesul respectiv are loc în următorul mod: - Logarea pe platformă a persoanei se efectuează doar dacă deține semnătura electronică și are cabinet personal, logare cu ajutorul platformei Mpass; - Următoarea etapă este cea de încărcare a documentului ce necesită a fi semnat, editarea mesajului către semnatari; adăugarea în listă a persoanelor care urmează a semna/aviza documentul, în ordinea în care trebuie să semneze; - Persoanele care urmează a semna documentul primesc un e-mail/notificare (cu care sunt înregistrați pe platformă) despre faptul că trebuie să semneze (procesul de logare este același); - Aplicarea semnăturii electronice este efectuată prin intermediul platformei guvernamentale Msign. Procesul respectiv poate avea loc atît pe interiorul companiei (intre angajați/departamente) cît și între alte companii/parteneri care dețin Cabinet Personal pe platformă. Accesul in platformă este realizat în baza semnăturii electronice calificate prin intermediul Mpass.

În cadrul companiei, lucrul nemijlocit cu platforma și interacțiunea cu acest sistem de evidență, le au următoarele departamente:
- Departamentul Vânzări, care propun clienților conectarea și suportul necesar pentru accesarea platformei id.md. Drepturile de acces la platformă a angajaților Departamentului Vânzări sunt limitate doar la adăugarea companiei (clientului) noi și persoanei responsabile din cadrul clientului precum și blocarea a accesului pe platformă în caz de folosire frauduloasa sau de neachitare a serviciilor;
- Departamentul Dezvoltare - care realizează modificări și îmbunătățiri a platformei in funcție de solicitările clienților și care au acces la baza de date care este conectată la sistem, departamentul nu are acces la datele clienților;
- Departamentul Juridic – este responsabil de întocmirea contractului cu clientul nou și gestionarea lui ulterioară.
- Administratorii de rețea - care se ocupă de configurarea serverelor și asigurarea securității conexiunii și serviciului.
În orice caz, accesul la platformă se realizează doar în baza unui scop determinat și doar de persoanele identificate, cu logarea obligatorie a acțiunilor pe site. Noi păstrăm cookie tehnic de la useri preluate de la Google și Yandex, informația despre care poate fi găsită în Politica cookies a companiilor nominalizate.

1.3. Datele cu caracter personal conținute în sistemul de evidență ID.md se prelucrează/stochează:
- în format electronic: software – Sistemul de evidență și bazele de date, care sunt stocate pe servere interne din sediul companiei. Serverele se păstrează într-o încăpere securizată cu acces fizic și de la distanță limitat doar pentru angajații Departamentului Tehnic (Administratorii de rețea).

1.4. Mentenanța sistemului de evidență este efectuată de către Departamentul Tehnic (administratori de rețea). În cazul incidentelor de securitate se procedează în conformitate cu Politica de Securitate a datelor in cadrul Simpals DEV, actualizată la data de 25 iunie 2019.

1.5. Obiectivele principale ale prelucrării datelor cu caracter personal (dcp) în cadrul registrului de evidență ID.md sunt disponibilitatea, integritatea şi confidenţialitatea tuturor informaţiilor, inclusiv datelor cu caracter personal prelucrate de Simpals DEV, atît în cadrul prelucrării manuale, cît și sistemelor şi proceselor de tehnologie informațională. Aceasta cuprinde cerinţe şi reguli pentru protecţia tuturor informaţiilor, inclusiv datele cu caracter personal, sistemelor şi proceselor IT împotriva influenţelor naturale, erorilor umane şi tehnice, precum şi împotriva acţiunilor deliberate care pot provoca pagube materiale, respectiv imateriale, sau care pot duce la încălcări ale legislației. Avînd în vedere că siguranţa IT nu poate fi garantată exclusiv cu ajutorul unor sisteme tehnice, prezentul Regulament vizează, de asemenea, aspecte de ordin organizatorico-juridic şi de altă natură.

1.6. Responsabil de prelucrarea informațiilor ce conțin date cu caracter personal în cadrul sistemului de evidență ID.md este desemnat șeful Departamentului Juridic, care este asistat în cazurile necesare de angajații Departamentului Tehnic.

2. DCP colectate de Simpals DEV în cadrul sistemului de evidență. Identificarea și autentificarea utilizatorului sistemului de evidență
2.1. În cadrul sistemului de evidență www.id.md sînt prelucrate următoarele date cu caracter personal (dcp):

numele, prenumele;
numărul personal de identificare de stat (IDNP);
număr telefon mobil;
adresa de e-mail;
funcția persoanei;

Datele menționate supra sunt obținute în următoarele interacțiuni cu subiecții dcp:

2.2 Date furnizate prin interacțiuni directe

Pentru a crea Cabinetul Personal al utilizatorului pe site-ul id.md, cu acordul persoanei respective sunt colectate următoarele dcp:
- Nume Prenume, adresa de email, numărul de telefon, IDNP, și funcția persoanei din cadrul companiei respective.
Înregistrarea utilizatorului pe platforma www.id.md
Pentru autentificarea utilizatorilor pe id.md sau în timpul procesului de utilizare a serviciilor acordate prin intermediul acestui site, ei pot opta pentru a ne oferi următoarele date personale suplimentare:
- semnătura electronică avansată, care este singura modalitate de autentificare în cadrul platformei id.md și care oferă posibilitatea de a beneficia de serviciile platformei. Accesul este asigurat de Mpass respectiv prelucrarea semnaturii digitale de către noi are loc foarte rar.

În cadrul procedurii de creeare a cabinetului personal pe platforma id.md, prin intermediul persoanei responsabile din partea companiei, după semnarea unui contract de prestări servicii pentru conectare (unde este specificat nemijlocit capitolul de prelucrare a dcp, drepturile și obligatiile), trimite datele necesar obligaorii pentru crearea cabinetului personal: (nume prenume, IDNP, număr de telefon, e-mail și funcția) care în mod automat fac legătura cu semnătura electronică e persoanei care și reprezintă pe viitor un factor de autentificare pe platformă către cabinetul personal.

2.3. Motivul și scopul prelucrării datelor cu caracter personal în cadrul sistemului de evidență id.md

- pentru executarea prevederilor contractului pe care suntem pe punctul de a-l încheia sau l-am încheiat cu utilizatorul;
- pentru a fi posibil de făcut legătura/identificarea corespunzătoare între IDNP-ul persoanei și semnătura electronică a respectivului, care pentru viitor va folosi semnatura electronică pentru logarea în cabinetul personal și de a semna documentele electronice (pentru a se folosi de platformă sigur și conform destinației).
- atunci când prelucrarea dcp este necesară pentru interesele noastre legitime de îmbunătățire a serviciilor și asigurare a unui site sigur și securizat;
- în cazul în care suntem obligați să respectăm o obligație legală sau reglementată;
- În anumite circumstanțe, prelucrăm dcp în temeiul consimțământului utilizatorului.

2.4. Identificarea și autentificarea utilizatorului sistemului de evidență

Se impun limite în privința persoanelor care au dreptul:
a) să vizualizeze informațiile stocate în sistemul de evidență;
b) să copieze, să descarce, să şteargă sau să modifice orice informație stocată.

Toţi angajații din departamentele sus menționate cu drepturi de acces la sistemul de evidență id.md beneficiază de o instruire iniţială în domeniul protecției dcp. Orice activitate de dezvăluire a dcp către terţi este documentată şi supusă unei analize riguroase în prealabil privind scopul și temeiul legal a intențiilor de dezvăluire a unui anumit volum de date cu caracter personal. Orice încălcare a securităţii în ceea ce priveşte sistemul de evidență este supusă documentării, iar persoana responsabilă de realizarea politicii de securitate (Șeful Departamentului Tehnic) este informată în legătură cu acest lucru cît de urgent posibil, în cel mult 3 (trei) ore. Înainte de acordarea accesului în sistem, angajații sînt informaţi despre faptul că folosirea sistemului de evidență este controlată şi că folosirea neautorizată a acestora este sancționată în conformitate cu legislația civilă, contravențională și penală.

3. Modul în care folosim dcp. Interesele noastre legitime și temeiurile juridice pe care ne bazăm în acest sens.
3.1. Pentru acordarea accesului și furnizarea Serviciilor prin site-ul nostru
- pentru crearea inițială cabinetului personal al utilizatorului, folosim prenumele și numele de familie, numărul de telefon, adresa de e-mail și numărul personal de identificare, pentru al identifica în calitate de utilizator în raport cu semnătura mobilă avansată și pentru a acorda accesul la serviciile platformei.
3.2. Pentru a furniza utilizatorilor o platformă sigură și securizată a cabinetului său personal
- utilizăm numărul său de telefon, IDNP, semnătura digitală și adresa electronică pentru a beneficia pe deplin și sigur de serviciile platformei care sunt determinate de acțiunile nemijlocite a utilizatorului ce are acces nemijlocit.
Prelucrăm informațiile de mai sus pentru o executare adecvată a contractului nostru cu utilizatorii, pentru a ne înmbunătăți serviciile și pe baza interesului nostru legitim de a preveni frauda.

Utilizatorii, datele cărora sunt prelucrate în cadrul sistemului de evidență id.md, pot retrage consimțământul în orice moment și gratuit, prin transmiterea unei solicitări către noi, la datele de contact furnizate pe site-ul id.md (fapt menționat în Contractul ce a fost semnat). Toate activitățile de prelucrare efectuate până la momentul retragerii consimțământului rămân valabile.

4. Unde stocăm dcp și pentru cât timp. Auditul securității sistemului de evidență
4.1. Datele pe care le colectăm despre utilizatori vor fi stocate și prelucrate pe servere securizate, pentru a oferi utilizatorilor cea mai bună experiență posibilă.
Vom păstra datele personale pentru o perioadă nelimitată sau atât timp cât este necesar pentru a îndeplini scopurile pe care le-am avut în vedere atunci când a fost semnat contractul, inclusiv în scopul satisfacerii oricăror cerințe de natură legală, contabilă sau de raportare.

4.2. Pentru a determina perioada adecvată de păstrare a datelor cu caracter personal, luăm în considerarea cantitatea, natura și sensibilitatea datelor personale, riscul potențial de vătămare cauzat de utilizarea neautorizată sau divulgarea datelor dumneavoastră personale, scopurile pentru care prelucrăm datele dumneavoastră personale și dacă putem realiza aceste scopuri prin alte mijloace și cerințele legale aplicabile.

Dacă nu există activitate în contul utilizatorului timp de 12 de luni, ne rezervăm dreptul să ștergem contul, inclusiv toate datele personale stocate în cont, ceea ce înseamnă că nu îl v-or mai putea accesa și utiliza. La fel, la expirarea termenelor menționate în prezentul punct, unele datele din sistemul de evidență sânt păstrate în formă arhivată, pe perioada stabilită de Indicatorul documentelor-tip şi al termenelor lor de păstrare pentru organele administrației publice, pentru instituțiile, organizațiile şi întreprinderile Republicii Moldova, aprobat de Serviciul de Stat de Arhivă nr.57 din 27.07.2016.

4.3. Se organizează generarea înregistrărilor de audit a securității de minim 2 ani în sistemul de evidență pentru evenimentele, indicate în lista corespunzătoare, supuse auditului.
Cazurile de deranjament al auditului securităţii în sistemul de evidență sau completării întregului volum de memorie repartizat pentru păstrarea rezultatelor auditului, sînt aduse la cunoștința persoanei responsabile de politica de securitate a datelor cu caracter personal (șefului Departamentului Tehnic, iar după caz și șefului Departament Juridic), care întreprinde măsuri în vederea restabilirii capacităţii de lucru a sistemului de audit. Rezultatele auditului securităţii în sistemul de evidență (operaţiunile de prelucrare a informațiilor şi mijloacele de efectuare a auditului), se protejează contra accesului neautorizat prin aplicarea măsurilor de securitate adecvate și asigurarea confidenţialităţii şi integrităţii acestora.
Durata minimă a stocării rezultatelor auditului securităţii în sistemul de evidență constituie 2 (doi) ani, în scopul asigurării posibilității de folosire a acestora în calitate de probe în cazul incidentelor de securitate, unor eventuale investigații sau procese judiciare. În cazul în care investigările sau procesele judiciare se prelungesc, rezultatele auditului se păstrează pe toată durata acestora.

5. Măsuri tehnice și organizatorice și securitatea prelucrării. Incidente de securitate. Integritatea informației din sistemul de evidență asigurate de Administratorul de rețea

5.1. Toate informațiile pe care le primim despre utilizatori sunt stocate pe servere securizate și am implementat măsuri tehnice și organizatorice adecvate și necesare pentru a proteja datele personale. Administratorii de rețea evaluează în permanență securitatea rețelei și gradul de adecvare al programului său intern de securitate a informațiilor, care este destinat: (a) să ne ajute să asigurăm datele împotriva pierderii, accesului sau divulgării accidentale sau ilegale; (b) să identifice riscurile previzibile în mod rezonabil pentru securitatea rețelei noastre, și (c) să minimizeze riscurile de securitate, inclusiv prin evaluarea riscurilor și prin testare periodică. În plus, parolele de acces și toate informațiile de plată sunt criptate utilizând tehnologia SSL.

5.2. Persoanele care asigură exploatarea sistemului de evidență trec, minimum o dată în an, instruirea cu privire la responsabilităţile şi obligaţiile în cazul executării acţiunilor de gestionare şi reacţionare la incidentele de securitate. Prelucrarea incidentelor de securitate include depistarea, analiza, preîntîmpinarea dezvoltării, înlăturarea lor şi restabilirea securităţii. Se monitorizează şi documentează, în mod permanent, incidentele de securitate în sistemul de evidență. În cazul producerii incidentelor de securitate persoanele responsabile va întreprinde măsurile necesare pentru depistarea sursei de producere a incidentului, va efectua analiza acestuia și va înlătura cauzele incidentului de securitate cu informarea în termen de 72 de ore din momentul producerii incidentului de securitate a Centrului Național pentru Protecția Datelor cu Caracter Personal al Republicii Moldova. Totodată, în cadrul controalelor efectuate de Centrul Național pentru Protecția Datelor cu Caracter Personal, persoanele responsabile sînt obligate să ofere suportul necesar și să asigure accesul la informațiile necesare relevante obiectului controlului. Persoanele care se fac vinovate de încălcarea normelor privind obţinerea, păstrarea, prelucrarea şi protecţia informațiilor din sistemul de evidență poartă răspundere civilă, contravențională și penală.

5.3. Masurile de protecție a datelor reprezintă o parte corpolenta a lucrarilor de creare, dezvoltare si exploatare a sistemului informațional de date si vor fi efectuate neîntrerupt de catre persoanele responsabile angajate in cadrul companiei. Protecția datelor sin sistemele informationale de date este asigurata printr-un complex de masuri tehnice si organizatorice de preîntâmpinare a prelucrarii a datelor.
Masurile de protecție a datelor cu caracter personal prelucrate în sistemele informationale de date se înfăptuiescținind-secontdenecesitateaasigurăriiconfidențialitățiiacestormasuri.Înfăptuirea oricărormasuri si lucrari cu folosirea resurselor informationale ale destinatorului este interzisa în cazurile in care nu sunt adoptate si implementate masuri corespunzătoare de protecție a datelor cu caracter personal. Sînt supuse protectiei toate resursele informationale ale deținatorilor de date , care conțin date, inclusiv:

A. suporturile magnetice, optice, laser sau alte suporturi ale informatiei electronice, masive informationale si baze de date;
B. sistemele informationale, retelele, sistemele operationale, sistemele de gestionare a bazelor de date si alte aplicatii, sistemele de telecomunicatii, inclusiv mijloacele de confectionare si multiplicare a documentelor si alte mijloace tehnice de prelucrare a informatiei.

5.6. Protectia datelor in sistemele informationale de date este asigurata in scopul:
- preintimpinarii scurgerii informatiei care contine date cu caracter personal prin metoda excluderii accesului neautorizat la aceasta;
-preintimpinarii distrugerii, modificarii, copierii, blocarii neautorizate a datelor in retelele telecomunicationale si resursele informationalee;
-respectarii cadrului normativ de folosire a sistemelor inforrnationale si a programelor de prelucrare a datelor; - asigurarii caracterului comp let, integru, veridic al datelor cu caracter personal in retelele telecomunicationale si resurselor informationale;
- pastrarii posibilitatilor de gestionare a procesului de prelucrare si pastrare a datelor.

5.7. Protecția datelor cu caracter personal prelucrate in sistemele informationale se efectueaza prin urmatoarele metode:
A. preintimpinarea conexiunilor neautorizate la retelele telecomunicationale si interceptării cu ajutorul mijloacelor tehnice a datelor transmise prin aceste retele;
B. excluderea accesului neautorizat la datele prelucrate;
C. preintirnpinarea actiunilor speciale tehnice si de program, care condiționează distrugerea,
D. preintimpinarea actiunilor intentionate si/sau neintenționate a utilizatorilor interni si/sau externi, precum si a altor angajati ai detinatorului de date cu caracter personal, care condiționează distrugerea, modificarea datelor sau defecțiuni in lucrul complexului tehnic si de program.
5.8. Preintimpinarea scurgerii de inforrnatii care contin date cu caracter personal, transmise prin canalele de legatura, este asigurata prin folosirea metodelor de cifrare a acestei informatii, inclusiv cu utilizarea masurilor organizationale, tehnice si de regim.
5.9. Preintimpinarea accesului neautorizat la informatiile care contin date cu caracter
personal circula sau se pastreaza in mijloace tehnice este asigurata prin metoda folosirii mijloacelor speciale tehnice si de program, criptării acestor informatii, inclusiv prin masurile organizaționale si de regim. 5.10. Preîntâmpinarea distrugerii, modificarii datelor sau defectiunilorin functionarea soft-ului destinat prelucrarii datelor este asgurata prin metoda folosirii mijloacelor de protectie speciale tehnice si de program, inclusiv a programelor licentiate, programelor antivirus, organizarii sistemului de control al securității soft- ului si efectuarea periodica a copiilor de siguranta.
5.11. Ordinea de acces la informatia care contine date , prelucrata in cadrul sistemelor informationale, se stabileste de catre companie in conformitate cu prevederile legislatiei.
5.12. Prin Ordinul Directorului operatorului din 24.07.2019 este numit responsabil de elaborarea, implementarea si monitorizarea respectării prevederilor politicii de securitate a datelor, precum și asigurarea măsurilor tehnice și organizatorice și securitatea prelucrării, examinarea incidentelor de securitate și Integritatea informației din sistemul de evidență șeful Departamentului tehnic, iar în perioada cînd această persoană nu își exercită atribuțiile de serviciu – adjunctul șefului Departamentului tehnic.
5.13. Prin Ordinul Administratorului este numit responsabil de elaborarea, implementarea si monitorizarea respectarii prevederilor politicii de securitate a datelor șeful Departamentului Tehnic și șeful departamentului Juridic . Masurile de securitate emise sunt stabilite conform regulamentelor de securitate ale fiecarui sistem care prelucreaza date. Lista nominala a utilizatorilor, autorizati sa acceseze datele este stabilita prin Ordinul Directorului. Documentatia tehnica cu privire la controalele de securitate este ținută sub forma de registre de persoana responsabila, numita prin Ordinul Directorului. Orarul controalelor de securitate este stabilit de catre persoana numita responsabila. Rapoartele despre incidentele de securitate sunt inregistrate in registrele respective de către persoanele responsabile. Fiecare incident urmează a fi adus la cunoștința conducerii companiei mod de urgență, pentru a putea fi identificata procedura de soluționare a incidentului, dacă el deja nu este prevăzut într-o politică sau regulament deja aprobat.
5.14. Pentru asigurarea măsurilor tehnice și organizatorice și securitatea prelucrării dcp, prevenirea, examnarea incidentelor de securitate și asigurarea integrității informației din sistemul de evidență de către operator au fost aprobate următoarele politici și regulamente interne:
- Angajamentul Administratorului privind implementarea și îmbunătățirea sistemului de management al securității informației din 25.05.2019;
- Politica de utilizare a e-mailului.
- Politica de utilizare a parolelor, care prevede că se utilizează autentificarea multifactoriala, care include parole complexe, cu includerea simbolurilor, literelor, cifrelor sin combinatie complex. In mod obligatoriu fiecare parola conține una sau mai multe litere scrise cu majuscula. Parola nu va conține initialele sau date care pot caracteriza o anumita persoana (data de naștere, adresa, porecla etc.).
- Planul de tratare a riscurilor.
- Politica de restaurare (backup). În cadrul SIMPALS DEV SRL backupurile se efectueaza pe serverul local și server extern a unui prestator de servicii local cu care compania are semnat contract de prestări servicii în acest scop. Indiferent de suportul ales acestea vor fi marcate cu urmatoarele informatii: a) numele sistemului pecares-aefectuacopiadesigurantasicontinutulacesteia;b) datacreăriicopiei;c) tipul de copie (completă, incrementală etc.); d) clasificarea sensibilităţii (siguranţei/securităţii); e) informaţii de contact ale persoanei care a creat copia.
- Politica privind incidentele de securitate care descrie cerinţele şi regulile care trebuie respectate pentru a minimiza impactul incidentelor de securitate. Acestea includ (dar nu sunt limitate la): detectarea programelor de tip virus, vierme informatic etc., folosirea neautorizată a conturilor de acces şi a calculatoarelor în sine, precum şi reclamaţiile privind folosirea improprie a resurselor informatice și a dcp deținute de SIMPALS DEV S.R.L.
- Obiectivele și măsurile de acțiune de referință pentru asigurarea securități informației, aprobate de operator la 25.05.2019:

6. Dispoziții finale
6.1. Prezentul Regulament este revizuit şi ulterior aprobat de către conducerea companiei periodic, însă cel puțin o dată în an, precum și la necesitate. Prezentul Regulament se completează cu prevederile legislației în vigoare. 6.2.Regulamentul este adus la cunoştinţa angajaților responsabili contra semnăturii.

Semnat electronic în baza Legii Nr. 91 din 29.05.2014 privind semnătura electronică şi documentul electronic. Verificarea semnăturii poate fi realizată la adresa https://msign.gov.md