Politică de confidențialitate

Operatorul de date este [DE COMPLETAT: denumire socială completă], înregistrat sub numărul [DE COMPLETAT: SIREN / Steuernummer / KvK / număr de registru], cu sediul social la [DE COMPLETAT: adresă poștală completă]. Pentru orice întrebare privind protecția datelor, contactați Responsabilul nostru cu protecția datelor la adresa dpo@securssh.com.

• Date de cont - adresă de e-mail, verificator hash al parolei master (PBKDF2 100.000 de iterații), apartenență la echipă.
• Conținutul seifului - credențiale, fișe de gazdă, snippets, criptate integral pe partea de client. Serverul stochează doar text criptat și nu poate accesa conținutul seifurilor în clar.
• Jurnal de audit - metadate de conexiune: marcaj temporal, actor, identificator de gazdă și tip de acțiune. Retenția este de 24 de luni pe planurile Team și nelimitată pe contractele Enterprise.
• Facturare - gestionată de Stripe. Nu stocăm niciodată numerele complete ale cardurilor bancare (PAN); doar identificatorii de facturare, metadatele facturilor și referința clientului sunt păstrate de partea noastră.
• Analiză de utilizare - Google Tag Manager (container GTM-P7PRZ37K) și Google Analytics 4. Evenimentele sunt anonimizate implicit (trunchiere IP, fără funcționalități publicitare activate).

• Executarea contractului (Articolul 6(1)(b)) - gestionarea contului, sincronizarea seifurilor, facturare.
• Interes legitim (Articolul 6(1)(f)) - jurnal de audit de securitate, prevenirea fraudei, detectarea abuzurilor.
• Consimțământ (Articolul 6(1)(a)) - cookie-uri analitice și alte cookie-uri neesențiale.
• Obligație legală (Articolul 6(1)(c)) - registre fiscale, contabilitate, audituri de reglementare sau de conformitate.

• Cont activ - datele sunt păstrate atât timp cât contul există.
• După ștergere - perioadă de grație de 30 de zile care acoperă rotația backup-urilor, după care sistemele de producție și de backup sunt eliminate definitiv.
• Jurnal de audit - retenție pe plan: 24 de luni (Team), nelimitată (Enterprise) sau conform contractului.
• Date de facturare - 10 ani, conform obligațiilor contabile și fiscale europene.

• Dreptul de acces (Articolul 15) - export complet al datelor disponibil la cerere.
• Dreptul la rectificare (Articolul 16) - disponibil direct din panoul de setări al contului.
• Dreptul la ștergere (Articolul 17) - integrat în produs sub formă de ștergere a contului cu un singur clic. Este o funcționalitate livrată, nu o procedură manuală.
• Dreptul la portabilitate (Articolul 20) - export JSON criptat al seifului și al datelor de cont.
• Dreptul de opoziție / la restricționarea prelucrării (Articolul 21).
• Dreptul de a depune o plângere la o autoritate de supraveghere - de exemplu ANSPDCP (România), CNIL (Franța), Datatilsynet (Danemarca), BfDI (Germania), AP (Țările de Jos), sau autoritatea de supraveghere din statul membru de reședință.

Pentru a exercita oricare dintre aceste drepturi, contactați privacy@securssh.com.

Datele cu caracter personal sunt stocate și prelucrate exclusiv în interiorul Uniunii Europene. Sarcinile de producție rulează din regiuni de centre de date europene (Frankfurt, Amsterdam) pe o infrastructură cu sediul în UE.

SecurSSH nu transferă date cu caracter personal către Statele Unite pentru stocare. Ca urmare a hotărârii Schrems II, acest lucru elimină incertitudinea juridică legată de transferurile în afara EEA.

Subcontractanții sunt enumerați la secțiunea 8 de mai jos. Orice modificare viitoare a unui subcontractant care ar putea afecta localizarea datelor este anunțată cu cel puțin 30 de zile în avans.

• Strict necesare - cookie de sesiune, token CSRF, preferință de limbă. Sunt necesare pentru funcționarea Serviciului și nu necesită consimțământ.
• Analitice - Google Tag Manager și Google Analytics 4. Încărcate doar după consimțământ.
• Niciun cookie de marketing terț nu este implementat pe site-ul web sau în produsul SecurSSH.

• Stripe Payments Europe Ltd. (Irlanda) - procesarea plăților.
• Google Ireland Ltd. (Irlanda - reprezentantul UE al Google) - analitică prin Google Tag Manager și Google Analytics 4.
• [DE COMPLETAT: găzduire EU] - găzduire de producție și backup-uri.
• [DE COMPLETAT: e-mail tranzacțional EU] - distribuirea e-mailurilor tranzacționale.

Un acord de prelucrare a datelor (DPA) este disponibil la cerere pentru Clienții pe planurile Team și Enterprise. DPA include Clauzele Contractuale Standard (CCS) atunci când sunt aplicabile, lista actualizată a subcontractanților, duratele de păstrare și măsurile de securitate aliniate cu articolul 28 GDPR.

Pentru a solicita DPA, scrieți la dpa@securssh.com.

• Criptare end-to-end AES-GCM a conținutului seifurilor, executată pe partea de client.
• PBKDF2 cu 100.000 de iterații pentru derivarea cheii din parola master.
• Criptare în tranzit prin TLS 1.3 pe toate punctele de acces SecurSSH.
• Jurnal de audit inalterabil; orice modificare neautorizată rupe lanțul și este detectabilă.
• Revizuiri interne de securitate regulate și controale de acces cu privilegiu minim pentru operatorii SecurSSH.
• Roadmap: audit SOC 2 Type II planificat pentru S2 2026 (în prezent necertificat - neasumat ca dobândit).

Serviciul este destinat utilizării profesionale și nu se adresează utilizatorilor cu vârsta sub 16 ani. SecurSSH nu colectează cu bună știință date cu caracter personal de la copii sub 16 ani. Dacă credeți că un copil a furnizat date cu caracter personal, contactați-ne pentru a putea șterge înregistrările respective.

Modificările substanțiale ale acestei Politici de confidențialitate sunt notificate cu cel puțin 30 de zile înainte de intrarea lor în vigoare, prin e-mail către Clienții activi și prin intermediul unui banner integrat în produs. Modificările minore (greșeli de tipar, clarificări) sunt publicate cu o dată de revizuire actualizată.

Întrebări generale privind protecția datelor: privacy@securssh.com.

Responsabil cu protecția datelor: dpo@securssh.com.