ssm.ro Docs
Conformitate & Protecția DatelorFurnizori & Terți

Politica de Management al Furnizorilor

Selecția, evaluarea riscului și monitorizarea furnizorilor și subprocesatorilor

SSM.ro utilizează un număr restrâns de furnizori de încredere pentru infrastructură și servicii. Această politică reglementează selecția, evaluarea riscului și monitorizarea acestora.

Selecție și due diligence

La selecția unui furnizor se evaluează:

  • Securitatea — certificări (ISO 27001, SOC 2), practici de criptare, izolare
  • Conformitatea — capacitatea de a respecta RGPD (clauze de prelucrare a datelor)
  • Fiabilitatea — disponibilitate, SLA, reputație
  • Localizarea datelor — regiunea de stocare și implicațiile de transfer

Evaluarea riscului furnizorilor

Riscul de compromitere a unui terț / subprocesator este urmărit în Registrul Riscurilor (risc #10), cu controale:

  • TLS în tranzit la toți furnizorii; mTLS sau API token la furnizorul de semnătură electronică
  • Credențiale limitate per furnizor, cu privilegii minime
  • Minimizarea datelor transmise fiecărui furnizor

Acorduri contractuale

  • Acorduri de prelucrare a datelor (DPA / clauze RGPD) cu furnizorii care prelucrează date personale
  • Clauze de confidențialitate pentru toți colaboratorii și prestatorii
  • Clauze contractuale standard (SCC) pentru transferurile în afara SEE

Monitorizare continuă

  • Revizuirea periodică a furnizorilor critici și a statusului lor de securitate
  • Monitorizarea stării serviciilor (Heroku, AWS) pentru disponibilitate
  • Lista actualizată a subprocesatorilor: Subprocesatori

Legislație Aplicabilă

Cadrul legislativ european și național aplicabil platformei SSM.ro

Reziliere și Portabilitatea Datelor

Procesul de încetare a contractului, export și portabilitatea datelor

On this page

Selecție și due diligenceEvaluarea riscului furnizorilorAcorduri contractualeMonitorizare continuă