Politica de Securitate a Informației
Cadrul general al politicii de securitate a informației pe platforma SSM.ro
Politica de securitate a informației definește obiectivele, domeniile și principiile care guvernează protecția datelor și a serviciilor pe platforma SSM.ro. Controalele detaliate sunt documentate în paginile dedicate ale acestei secțiuni.
Această politică face parte din Sistemul de Management al Securității Informației (SMSI) al SSM.ro, certificat ISO/IEC 27001 — vezi Certificări și Standarde.
Obiective
Politica urmărește protejarea celor trei proprietăți fundamentale ale informației:
- Confidențialitate — accesul la date este restricționat strict la entitățile autorizate
- Integritate — datele și documentele nu pot fi alterate neautorizat; trail-uri de audit tamper-evident
- Disponibilitate — serviciile și datele sunt disponibile conform obiectivelor de continuitate (vezi RTO și RPO)
Domeniu de aplicare
Politica acoperă aplicația SSM.ro, infrastructura pe care rulează (Heroku, AWS), furnizorii terți de încredere, precum și personalul și colaboratorii cu acces la sisteme. Se aplică ambelor modele de deployment, cu particularitățile descrise la Modele de Deployment.
Domenii de control
| Domeniu | Referință |
|---|---|
| Control acces și identitate (RBAC, izolare tenant, autentificare) | Control Acces |
| Criptare (în tranzit, la repaus, gestionarea cheilor) | Criptare |
| Securitatea aplicației (SDLC, OWASP, dependențe, secrete) | Securitatea Aplicației |
| Securitatea rețelei și controale compensatorii WAF | Securitatea Rețelei |
| Managementul riscurilor | Managementul Riscurilor |
| Vulnerabilități, patching și testare | Vulnerabilități & Testare |
| Backup, continuitate și recuperare | Backup & Continuitate |
| Managementul incidentelor | Managementul Incidentelor |
| Securitatea resurselor umane | Resurse Umane |
Principii de guvernanță
- Privilegii minime — accesul la sisteme și servicii se acordă strict pe baza necesității (least privilege).
- Securitate stratificată — controale defensive la nivel de platformă, framework, aplicație și observabilitate.
- Responsabilitate partajată — granițele dintre SSM.ro, furnizori și client sunt definite în Modelul de Responsabilitate Partajată.
- Îmbunătățire continuă — riscurile și controalele sunt revizuite anual sau la orice schimbare arhitecturală semnificativă.
Versionare și revizuire
Documentele de securitate de bază (registrul riscurilor, SOP operațional, memo controale compensatorii WAF) sunt versionate v1.0 (2026-04-29) și revizuite anual.