Finstar / Legal / Securitate

Securitate

Cum protejăm datele tale: măsurile tehnice și organizatorice pe care le aplicăm la fiecare nivel — de la conexiune până la backup.

Ultima actualizare: 2026-05-02

1. Principii

Securitatea Platformei Finstar se bazează pe trei principii:

  • Privilegiul minim — fiecare acces (uman sau de cod) primește doar ceea ce este strict necesar pentru rol;
  • Apărare în profunzime — protecții la fiecare nivel (rețea, aplicație, bază de date), astfel încât compromiterea unui nivel să nu compromită datele;
  • Criptare implicită — datele sunt criptate la repaus și în tranzit, fără excepție.

2. Criptare

În tranzit. Toate conexiunile către Platformă (web, API, email) folosesc HTTPS cu TLS 1.2 sau superior. Certificatele sunt emise de autorități de încredere și rotite automat.

La repaus. Datele stocate (baze de date, fișiere, backup-uri) sunt criptate cu AES-256 sau echivalent, prin facilitățile providerului de hosting (Cloudflare).

Parole. Parolele utilizatorilor sunt stocate doar ca hash-uri unidirecționale (bcrypt cu salt), niciodată în text clar.

Date plată. Datele cardului bancar nu sunt niciodată stocate pe serverele Finstar — sunt transmise direct la Stripe printr-un canal criptat (PCI DSS Level 1).

3. Acces și autentificare

Acces personal Finstar. Angajații cu acces la sistemele de producție:

  • folosesc autentificare cu MFA (multi-factor authentication) obligatorie;
  • au acces strict la datele necesare rolului lor (privilegiul minim);
  • accesul este logat individual și auditat trimestrial;
  • la încheierea relației de muncă, accesul este revocat în maxim 24 de ore.

Acces utilizatori. Pentru clienții Platformei:

  • parolă unică conform cerințelor de complexitate (minim 12 caractere recomandat);
  • autentificare în doi pași (2FA) — disponibilă pe roadmap;
  • blocarea conturilor după multiple încercări eșuate;
  • notificare pe email pentru login-uri din locații neobișnuite.

4. Izolarea datelor

Platforma este multi-tenant — mai mulți clienți folosesc aceeași infrastructură —, dar datele sunt izolate logic prin:

  • identificator unic per client în fiecare query;
  • verificare la nivel de aplicație că un utilizator accesează doar datele firmei sale;
  • separare strictă între medii de producție, staging și development.

Datele tale nu sunt partajate cu alți clienți. Pentru asistentul Alex selectăm furnizori și configurări care limitează retenția și exclud antrenarea modelelor pe datele firmei tale — vezi detalii în Politica de confidențialitate și DPA.

5. Backup și recuperare

  • Frecvență: backup-uri automate zilnice ale bazelor de date;
  • Retenție: minim 30 de zile, pentru recuperare după incidente operaționale;
  • Criptare: backup-urile sunt criptate cu aceleași standarde ca datele live;
  • Stocare separată: backup-urile sunt în alt mediu decât producția, ca să rezistăm la pierderi catastrofale;
  • Testare: proceduri de restore testate periodic, pentru a confirma că backup-urile funcționează.

Țintă RPO/RTO: RPO (recovery point objective) maxim 24 de ore, RTO (recovery time objective) maxim 8 ore pentru incidente majore.

6. Monitorizare și log-uri

  • Log-uri de acces și de operațiuni critice, păstrate 12 luni;
  • Alertare automată pe evenimente neobișnuite (login-uri din locații noi, încercări multiple eșuate, acces neautorizat la endpoint-uri sensibile);
  • Dashboard-uri operaționale pentru disponibilitate, latențe, erori;
  • Verificare automată a actualizărilor de securitate pentru dependențe (dependency scanning).

7. Răspuns la incidente

Avem o procedură documentată de răspuns la incidente, cu:

  • Roluri și responsabilități clare — cine investighează, cine notifică, cine decide;
  • Termene de escaladare — pentru incidente critice, escaladare la administrator în maxim 1 oră;
  • Notificare clienți — în maxim 72 de ore de la confirmarea unei breșe care afectează date personale, conform GDPR art. 33-34;
  • Cooperare cu ANSPDCP — atunci când este cazul, te ajutăm să-ți îndeplinești obligația proprie de notificare;
  • Raport post-incident — analiză detaliată, măsuri corective, comunicare către părțile afectate.

8. Verificări terți și certificări

Lucrăm cu sub-procesatori care au certificări recunoscute internațional:

  • Cloudflare — ISO 27001, SOC 2 Type II;
  • Stripe — PCI DSS Level 1, ISO 27001, SOC 1, SOC 2;
  • Resend — SOC 2 Type II;
  • Google — ISO 27001, ISO 27017, ISO 27018, SOC 2 Type II;
  • Meta — ISO 27001, ISO 27018;
  • PostHog — SOC 2 Type II;
  • Intercom — SOC 2 Type II, ISO 27001.

Pentru Finstar în sine — la momentul prezent nu avem certificare formală ISO 27001 / SOC 2; planul este să obținem una pe parcursul scalării. Pentru cerințe enterprise, putem furniza un chestionar de securitate complet la cerere.

9. Raportare vulnerabilități

Dacă descoperi o vulnerabilitate de securitate în Platformă, te rugăm să ne contactezi în privat înainte de a face publice detaliile. Procedăm astfel:

  • Email: contact@finstar.ro cu subject prefixat „[SECURITY]”;
  • Confirmare: răspundem în maxim 24 de ore lucrătoare;
  • Triaj și remediere: evaluăm gravitatea și planificăm remedierea;
  • Disclosure coordonat: îți comunicăm timeline-ul; după remediere, putem publica un avizier împreună (cu credit dacă dorești);
  • Bug bounty: nu avem un program formal de bug bounty încă, dar recunoaștem munca cercetătorilor de securitate cu mențiune publică și, după caz, cu o recompensă simbolică.

Ai întrebări?

Scrie-ne direct la contact@finstar.ro. Răspundem în câteva ore lucrătoare, fără jargon legal.