Pentru DPO și IT
Securitatea datelor în Egalis
Pe scurt
Unde stau datele
Pe servere Hetzner (centre de date în Germania, UE), administrate de noi — nu pe infrastructură partajată cu terți necontrolați. Site-ul public nu stochează nimic: toate instrumentele gratuite rulează integral în browserul vizitatorului.
Pseudonimizare din construcție
Motorul de calcul nu vede niciodată nume sau CNP: angajații există în calcule doar ca ID-ul lor din payroll + sexul (singurul criteriu pe care legea permite să-l colectăm). Dacă firma alege să importe și numele (pentru operare), ele stau într-un tabel separat, criptate AES-256-GCM, vizibile exclusiv rolurilor owner și hr_admin — și nu intră niciodată în calcule, rapoarte sau exporturi legale.
Izolare între companii
Platforma e multi-tenant cu izolare strictă pe companie, demonstrată prin teste automate de izolare care rulează la fiecare modificare de cod. Accesul e pe roluri (owner, hr_admin, aprobator de management, reprezentantul lucrătorilor, angajat, recrutor) — control de acces cerut de lege, nu opțional.
Jurnal de audit imutabil
Fiecare acțiune cu relevanță juridică (import, evaluare, aprobare, raport, răspuns la cerere, notificare de termen) se scrie într-un jurnal doar-adăugare. Imutabilitatea e impusă la nivelul bazei de date (trigger care respinge orice UPDATE/DELETE), nu prin convenție de aplicație — nici administratorii nu pot rescrie istoria.
Autentificare și acces
- Parole stocate cu scrypt (hash ireversibil, cu sare).
- Verificare în doi pași (TOTP) suportată la autentificare.
- Limitare de rată pe autentificare și pe formularele publice (anti brute-force).
- Sesiuni httpOnly, cookie-uri doar strict necesare (vezi politica de cookies).
- Tot traficul pe TLS; porturile de administrare sunt închise public.
Datele tale nu sunt ostatice
Exportul complet (JSON structurat) și ștergerea definitivă a companiei sunt funcții în aplicație, disponibile owner-ului oricând — inclusiv după încetarea abonamentului. La ștergere se elimină toate datele de conținut; jurnalul de audit se păstrează ca probă legală (nu conține date salariale).
Continuitate
Copii de siguranță regulate ale bazei de date, cu test periodic de restaurare; mediu de probă separat de producție; copie de siguranță înaintea oricărei modificări de structură de date. Erorile aplicației se colectează centralizat, iar procesele care ating termene legale sunt tratate la severitate maximă — promisiunea produsului e „nu ratezi termene”.
Raportarea vulnerabilităților
Responsible disclosure
Ai găsit o problemă de securitate? Scrie-ne la office@addovision.ro. Confirmăm primirea în 48 de ore și nu inițiem acțiuni legale împotriva cercetării de bună-credință.