Acasă / Produse / Securitate date

Securitate Date și Conformitate GDPR pentru Furnizorii Autorizați de Formare Profesională ANC

Protecția datelor cursanților este obligație legală și prioritate operațională pentru orice furnizor autorizat de formare profesională. UCENIC garantează securitate date GDPR formare profesională conform cerințelor Regulamentului UE 2016/679 și ale metodologiei ANC: datele personale (CNP, copii act identitate, rezultate examene) sunt criptate la repaus, transmisia se face exclusiv prin HTTPS, backup-urile zilnice automate sunt stocate criptat în UE, iar fiecare modificare este logată într-un audit log inviolabil construit pe cerințele de evidență prevăzute de OG 129/2000 și HG 522/2003.

Testează gratuit 7 zile Vezi toate funcționalitățile

Cadrul legal GDPR și reglementările ANC aplicabile datelor cursanților

Un furnizor autorizat de formare profesională operează simultan sub două cadre normative principale: legislația de protecție a datelor cu caracter personal și legislația sectorială ANC privind evidența și certificarea cursanților. UCENIC oferă o soluție integrată de securitate date GDPR formare profesională, proiectată pentru respectarea simultană a ambelor cadre, fără ca administratorul furnizorului să fie obligat să facă reconcilieri manuale între cele două seturi de cerințe.

  • Regulamentul UE 2016/679 (GDPR) — definește Operatorul de Date (furnizorul de formare) și Persoana Împuternicită (BSIT Consulting prin platforma UCENIC); art. 5 stabilește principiile de legalitate, minimizare, integritate și confidențialitate; art. 13-14 reglementează obligația de informare; art. 15-22 detaliază drepturile persoanei vizate; art. 32 impune măsuri tehnice și organizatorice adecvate riscului; art. 33-34 reglementează notificarea incidentelor de securitate.
  • OG 129/2000 privind formarea profesională a adulților, republicată — obligă furnizorul autorizat să mențină evidența completă a cursanților, contractelor de formare, prezenței și rezultatelor obținute la examene; precizează termenele de arhivare a documentelor de formare (5 ani după finalizarea programului pentru documentele primare de evidență).
  • HG 522/2003 - Metodologia de Certificare a Formării Profesionale a Adulților — stabilește formatul anexelor obligatorii (1-8), inclusiv Registrul Certificatelor Eliberate (Anexa 6), care conține date personale ale absolvenților și trebuie protejat conform GDPR; reglementează formatul certificatelor și procedurile de eliberare.
  • Legea 190/2018 — măsurile de aplicare ale Regulamentului UE 2016/679 la nivel național; stabilește competențele Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), procedurile de control și regimul sancțiunilor.
  • ANSPDCP — autoritatea publică independentă responsabilă cu supravegherea respectării legislației de protecție a datelor cu caracter personal; primește notificările de incident conform art. 33 GDPR și aplică sancțiuni în caz de neconformitate.

Pentru detaliile contractuale de prelucrare între furnizor (Operator) și BSIT Consulting (Persoană Împuternicită), consultați politica de confidențialitate completă. Echipa care operează platforma este detaliată în pagina despre noi, iar metodologia integrală de certificare este descrisă în articolul metodologia certificării formării profesionale.

Măsurile tehnice de securitate implementate în UCENIC

Conform art. 32 GDPR, Operatorul și Persoana Împuternicită implementează măsuri tehnice și organizatorice adecvate riscului. UCENIC aplică șase măsuri-pivot care acoperă lanțul complet de protecție: de la criptare și control acces, la backup și audit. Fiecare măsură este detaliată în secțiunile următoare.

Criptare la repaus

Baza de date și fișierele atașate cu date personale ale cursanților sunt criptate la repaus folosind algoritmi standard industrie. Cheia de criptare este gestionată separat de date, conform principiului separation of concerns.

  • Criptare bază de date
  • Criptare fișiere atașate
  • Gestiune chei separată

Transmisie securizată HTTPS

Toate comunicațiile dintre browser și server sunt criptate prin protocolul HTTPS cu certificate SSL/TLS în versiune curentă. Cipher suites moderne, HSTS activat, redirect automat de la HTTP la HTTPS.

  • Certificat SSL valid permanent
  • HSTS pentru forțarea HTTPS
  • Cookies cu flag Secure și HttpOnly

Autentificare securizată și auto-expire

Acces protejat prin parole hash-uite cu algoritm rezistent (bcrypt cu rounds adecvate), recuperare parolă cu validare email, sesiuni cu auto-expire după inactivitate prelungită și lockout temporar la încercări consecutive eșuate.

  • Parole hash-uite cu bcrypt
  • Recuperare parolă verificată prin email
  • Lockout la încercări eșuate

Control acces pe roluri (RBAC)

Modelul RBAC (Role-Based Access Control) asigură că fiecare utilizator din echipa furnizorului are acces strict la datele și acțiunile relevante rolului său: Administrator, Operator, Vizualizator. Controlul granular RBAC elimină riscul de acces neautorizat intern.

Backup zilnic criptat

Copie completă a datelor în fiecare noapte, criptată înainte de transfer și stocată în locație geografic separată (în UE). Backup incremental orar pentru baza de date tranzacțională. Retenție rolling pentru recovery flexibil.

  • Backup automat zilnic
  • Backup incremental orar
  • Stocare exclusiv în UE

Audit log inviolabil

Fiecare acțiune (login, modificare câmp, ștergere, export, generare certificat) este logată cu utilizator, IP sursă, timestamp și valoare anterioară versus valoare nouă. Logurile sunt write-only, nu pot fi modificate retroactiv.

  • Istoric complet al modificărilor
  • Loguri imutabile (write-only)
  • Retenție 24 luni

Criptare end-to-end: date în tranzit și date în repaus

Date în tranzit

Întregul trafic dintre dispozitivul utilizatorului și serverele UCENIC este criptat prin HTTPS folosind protocolul SSL/TLS în versiune curentă, cu cipher suites moderne care includ algoritmi de tip AES și mecanisme de schimb de chei rezistente la atacuri (forward secrecy). HSTS este activat pentru a forța browserul să folosească exclusiv HTTPS, iar redirectul de la HTTP la HTTPS este automat. Certificatele SSL au rotație automată — nu există perioadă în care site-ul rulează cu certificat expirat. Cookie-urile de sesiune au flag Secure (transmis doar pe HTTPS) și HttpOnly (inaccesibil din JavaScript pentru a preveni atacuri XSS), iar formularele sunt protejate prin token CSRF unic per sesiune.

Beneficiu practic pentru centrul de formare: chiar și atunci când un operator lucrează de la o cafenea sau de pe o rețea Wi-Fi publică, datele cursanților transmise rămân criptate end-to-end și nu pot fi interceptate. Aceeași protecție se aplică tuturor exporturilor (PDF, Excel), importurilor de date și cererilor API.

Date în repaus

Baza de date care stochează informațiile cursanților folosește criptare standard industrie la nivel de motor de stocare cu algoritmi simetrici de tip AES (AES-128/256 în funcție de tier-ul de infrastructură), iar volumul de disc al hostului are criptare suplimentară full-disk. Fișierele atașate (acte identitate scanate, contracte semnate, dovezi de plată) sunt criptate per-fișier cu cheie derivată din cheia master (Key Encryption Key) gestionată separat de date. Parolele utilizatorilor nu sunt stocate niciodată în clar — sunt hash-uite cu bcrypt folosind un număr adecvat de rounds care face atacurile de tip dicționar prohibitiv de costisitoare. Tokenii de sesiune și de recuperare parolă sunt hash-uiți cu salt unic înainte de stocare.

Backup-urile sunt re-criptate înainte de transfer la locația secundară, folosind chei distincte de cele de producție — principiu defense in depth: chiar dacă o cheie ar fi compromisă, restul lanțului rămâne protejat. Toate datele importate sau exportate tranzitează același circuit criptat, fără excepție.

Backup automat și recuperare după dezastru (Disaster Recovery)

Continuitatea operațională a unui furnizor de formare profesională depinde direct de disponibilitatea datelor — un incident de pierdere de date înseamnă imposibilitatea de a emite certificate, observații la auditul Comisiei de Autorizare și, potențial, sancțiuni GDPR. UCENIC tratează backup-ul nu ca pe o opțiune, ci ca pe o componentă esențială a serviciului.

  • Frecvență backup — backup complet automat zilnic în fereastra de trafic scăzut (orele de noapte); backup incremental orar pentru baza de date tranzacțională, pentru a captura modificările granular între cele două backup-uri complete.
  • Locații de stocare — minim 2 locații geografic distincte, ambele pe teritoriul Uniunii Europene. Această configurare îndeplinește simultan cerința Regulamentului UE 2016/679 de a nu transfera date personale în afara Spațiului Economic European fără mecanism legal adecvat, și cerința de a tolera incidentele unei singure regiuni geografice.
  • Retenție — backup-urile zilnice se păstrează rolling pentru recovery flexibil pe interval scurt; snapshot-uri arhivate pentru recovery point objective pe termen lung — utile în scenarii rare în care o problemă este detectată cu întârziere semnificativă.
  • Recovery Time Objective (RTO) — sub 4 ore pentru restore complet al întregului sistem în caz de incident major. Pentru ștergeri accidentale punctuale (de exemplu, un cursant șters din greșeală), restore-ul selectiv este disponibil în interval semnificativ mai scurt.
  • Recovery Point Objective (RPO) — sub 1 oră pierdere maximă de date acceptabilă, datorită backup-urilor incrementale orare. Această țintă este aliniată cu cerințele art. 32 GDPR privind capacitatea de a restabili disponibilitatea și accesul la datele cu caracter personal în timp util.
  • Testare DR — simulare periodică de restore pe un mediu izolat, cu validare integritate prin checksum per fișier. Un backup care nu poate fi restaurat nu este un backup real; testarea elimină această iluzie.
  • Self-service restore — pentru incidente punctuale (ștergere accidentală a unui cursant sau a unui document), administratorul furnizorului poate solicita restore selectiv direct din interfață, fără a aștepta intervenția echipei tehnice.

Pentru un furnizor cu 200-500 cursanți activi, backup-ul automat zilnic elimină riscul existențial al pierderii de date. Vedeți cum reduce digitalizarea riscurile operaționale ale unui centru de formare.

Drepturile cursanților sub GDPR și cum le exercitați prin UCENIC

Regulamentul UE 2016/679 stabilește 8 drepturi fundamentale ale persoanei vizate. UCENIC oferă funcționalități native pentru fiecare dintre ele, astfel încât administratorul furnizorului poate răspunde la o cerere a unui cursant în câteva minute, fără a fi nevoie de intervenții tehnice externe. Toate acțiunile sunt logate în audit log, iar răspunsul este documentat automat pentru audit.

  • Dreptul la informare (art. 13-14) — UCENIC pune la dispoziție template-uri de notă de informare a cursantului, gata de semnat odată cu Anexa 2 (contractul de formare profesională). Nota detaliază scopurile prelucrării, temeiurile legale, perioada de retenție și drepturile cursantului.
  • Dreptul de acces (art. 15) — orice cursant poate primi, la cerere, un export complet al profilului său (PDF sau JSON structurat) în interval mult mai scurt decât termenul de 30 zile prevăzut de GDPR. Exportul include toate datele asociate (contracte, prezență, rezultate, certificate emise).
  • Dreptul la rectificare (art. 16) — administratorul furnizorului corectează datele cursantului direct din interfață, după validarea identității solicitantului. Toate modificările sunt logate cu valoare anterioară și valoare nouă pentru transparență totală.
  • Dreptul la ștergere — „dreptul de a fi uitat" (art. 17) — flow asistat care respectă obligația legală de arhivare 5 ani conform OG 129/2000: datele non-esențiale se șterg imediat, datele de evidență minimală se anonimizează după expirarea termenului legal. Registrul Certificatelor Eliberate păstrează identificatorii formali pentru auditul retroactiv ANC.
  • Dreptul la restricționarea prelucrării (art. 18) — flag „suspendat GDPR" care blochează prelucrarea fără a șterge datele, util când cursantul contestă acuratețea datelor sau legalitatea prelucrării.
  • Dreptul la portabilitate (art. 20) — export structurat în PDF, Excel sau JSON, cu mapare standardizată a câmpurilor pentru a facilita transferul către alt sistem.
  • Dreptul de opoziție (art. 21) — toggle în profilul cursantului pentru opt-out din comunicări non-esențiale (newsletter, anunțuri promoționale), păstrând comunicările esențiale (rezultate examen, convocare).
  • Dreptul de a nu fi supus deciziilor automatizate (art. 22) — UCENIC nu ia decizii automate cu impact juridic asupra cursanților; toate deciziile (admitere, certificare, evaluare finală) sunt validate uman de către comisia de examinare a furnizorului.

Când un cursant exercită un drept, UCENIC generează automat și raportul intern pe care responsabilul cu protecția datelor (DPO) al furnizorului îl poate prezenta la auditul ANSPDCP. Modulul de gestionare cursanți include flow-urile complete pentru fiecare drept GDPR.

Audit logs, monitorizare și răspuns la incidente de securitate

Audit logs

Fiecare acțiune executată în UCENIC este logată cu un set complet de metadate: utilizator (id intern plus email), rol RBAC asignat la momentul acțiunii, IP sursă, user-agent al browserului, timestamp UTC, entitatea afectată (cursant, curs, document), valoare anterioară și valoare nouă pentru orice modificare de câmp. Acțiunile logate includ: login și logout, modificare profil cursant, ștergere entitate, export bulk, generare certificat, vizualizare câmpuri sensibile (CNP, copie act identitate). Logurile sunt write-only — nu pot fi editate sau șterse de operatori, nici măcar de administratori. Sunt stocate pe storage criptat separat de baza de date principală, retentate 24 luni, și disponibile pentru filtrare în interfața administratorului furnizorului.

Monitorizare proactivă

UCENIC monitorizează activ semnale de risc: tentative consecutive de login eșuate declanșează lockout temporar al contului plus alertă către administrator; export bulk neobișnuit (volum semnificativ mai mare decât tipic) declanșează alertă de potențial insider threat; orice escaladare de privilegii RBAC între roluri (Administrator, Operator, Vizualizator) este logată și notificată DPO-ului furnizorului; verificări automate de integritate (checksum) la fiecare backup detectează corupția silențioasă a datelor înainte ca aceasta să afecteze operațiunile. Acestea sunt măsuri preventive — incidentele evitate sunt incidente care nu trebuie raportate la ANSPDCP.

Răspuns la incident (Breach response - art. 33-34 GDPR)

Procedura internă de Incident Response are 4 etape clare: Detectare → Conținere → Eradicare → Recuperare. La detectarea unui incident care afectează date cu caracter personal, BSIT Consulting (Persoană Împuternicită) notifică Operatorul de Date (furnizorul de formare) în maxim 24 ore de la confirmarea incidentului — termen mai strict decât cele 72 ore prevăzute de art. 33 GDPR pentru notificarea către ANSPDCP, care rămâne responsabilitatea Operatorului. Notificarea include natura incidentului, categoriile și numărul aproximativ de persoane vizate, consecințele probabile și măsurile de remediere luate. Un raport post-incident complet, cu analiza root cause și măsurile preventive pe termen lung, este livrat în maxim 14 zile. Persoanele vizate sunt notificate conform art. 34 GDPR în cazurile în care incidentul prezintă risc ridicat pentru drepturile și libertățile lor.

Clauzele complete privind notificarea incidentelor sunt detaliate în acordul de prelucrare a datelor (DPA) — consultați politica de utilizare pentru textul integral disponibil la onboarding.

Întrebări frecvente despre securitatea datelor și GDPR în UCENIC

Este UCENIC complet conform GDPR pentru datele cursanților dintr-un centru de formare profesională?
Da, UCENIC respectă integral cerințele Regulamentului UE 2016/679 (GDPR) și ale Legii 190/2018 privind măsurile de aplicare la nivel național. Datele cursanților (CNP, copii act identitate, rezultate examene, contracte de formare) sunt prelucrate exclusiv pentru scopurile declarate furnizorului de formare profesională, stocate pe servere din Uniunea Europeană și protejate prin măsuri tehnice și organizatorice conforme art. 32 GDPR. Furnizorul autorizat ANC rămâne Operator de Date, iar BSIT Consulting acționează ca Persoană Împuternicită conform contractului standard de prelucrare disponibil la onboarding. Platforma oferă funcționalități native pentru toate cele 8 drepturi ale persoanei vizate: informare, acces, rectificare, ștergere, restricționare, portabilitate, opoziție, decizii automatizate.
Cum sunt criptate datele cursanților în UCENIC, în tranzit și la repaus?
În tranzit, toate comunicațiile dintre browser și serverele UCENIC sunt criptate prin protocolul HTTPS cu certificate SSL/TLS în versiune curentă, folosind cipher suites moderne. Cookie-urile de sesiune au flag Secure și HttpOnly, iar formularele sunt protejate prin token CSRF. La repaus, baza de date și fișierele atașate (acte identitate scanate, contracte semnate) sunt protejate prin criptare standard industrie la nivel de bază de date și volum de stocare. Parolele utilizatorilor sunt hash-uite separat folosind algoritmi rezistenți la atacuri de dicționar (bcrypt cu rounds adecvate). Backup-urile sunt re-criptate înainte de transfer la locația secundară, cu chei distincte de cele de producție pentru defense in depth.
Cât de des se fac backup-uri și unde sunt stocate?
Backup-urile complete se realizează automat zilnic, în fereastra de trafic scăzut (orele de noapte), fără intervenție din partea utilizatorului. Suplimentar, baza de date tranzacțională are backup incremental orar. Toate copiile sunt criptate înainte de transfer și stocate în locații geografic distincte, ambele pe teritoriul Uniunii Europene, pentru a îndeplini cerința Regulamentului UE 2016/679 de a nu transfera date personale în afara Spațiului Economic European fără mecanism legal adecvat. Retenția standard este de tip rolling pentru backup-urile zilnice, cu snapshot-uri arhivate pentru recovery point objective pe termen lung. Obiectivele de recuperare sunt: RTO (Recovery Time Objective) sub 4 ore pentru restore complet, RPO (Recovery Point Objective) sub 1 oră pentru pierderea maximă acceptabilă.
Cât timp se păstrează datele cursanților după finalizarea cursului?
Datele de evidență minimală a formării (nume, prenume, CNP, ocupație, perioada cursului, rezultate examen, seria și numărul certificatului) se păstrează 5 ani după finalizarea programului, conform OG 129/2000 privind formarea profesională a adulților, republicată, și HG 522/2003 — Metodologia de Certificare. Această retenție este obligație legală și nu poate fi scurtată chiar dacă persoana vizată solicită ștergere. Datele non-esențiale (preferințe de comunicare, copii suplimentare de documente, fișiere temporare) se șterg imediat la cererea cursantului sau a furnizorului. După expirarea termenului de 5 ani, datele de evidență sunt anonimizate sau șterse integral, iar Registrul Certificatelor Eliberate (Anexa 6) păstrează doar identificatorii formali pentru auditul retroactiv ANC.
Cum își poate exercita un cursant dreptul de ștergere prin platforma UCENIC?
Cursantul își exercită dreptul la ștergere — dreptul de a fi uitat (art. 17 GDPR) — printr-o cerere adresată furnizorului de formare profesională care a colectat datele (Operatorul de Date). În UCENIC, administratorul furnizorului accesează profilul cursantului și inițiază flow-ul asistat de ștergere, care diferențiază automat între datele non-esențiale (ștergere imediată) și datele de evidență obligatorii păstrate conform OG 129/2000 (anonimizare după expirarea termenului de 5 ani). Sistemul generează un raport intern documentând cererea, măsurile luate și datele păstrate cu temei legal — raport utilizabil la auditul ANSPDCP sau al Comisiei de Autorizare. Tot procesul este logat în audit log inviolabil cu timestamp, utilizator și acțiune.
Ce face UCENIC în caz de incident de securitate cu date personale (breach response)?
Procedura internă de Incident Response are 4 etape: Detectare → Conținere → Eradicare → Recuperare. La detectarea unui incident care afectează date personale, BSIT Consulting (Persoana Împuternicită) notifică Operatorul de Date (furnizorul de formare) în maxim 24 ore de la confirmarea incidentului — termen mai strict decât cele 72 ore prevăzute de art. 33 GDPR pentru notificarea ANSPDCP, care rămâne responsabilitatea Operatorului. Notificarea conține natura incidentului, categoriile și numărul aproximativ de persoane vizate, consecințele probabile și măsurile de remediere luate. Un raport post-incident cu analiza root cause și măsurile preventive este livrat în maxim 14 zile. Persoanele vizate sunt notificate conform art. 34 GDPR atunci când incidentul prezintă risc ridicat pentru drepturile lor.
Cum mă ajută UCENIC la auditul GDPR și la controlul ANSPDCP sau al Comisiei de Autorizare?
UCENIC pune la dispoziție un set complet de instrumente pentru audit: audit log inviolabil cu istoricul tuturor accesărilor și modificărilor (cine, când, ce câmp, valoare anterioară, valoare nouă, IP sursă), retentat 24 luni; rapoarte de retenție automate care arată ce date sunt păstrate, sub ce temei legal și pentru cât timp; registru al cererilor exercitate de cursanți (drept de acces, ștergere, portabilitate) cu data, conținutul și răspunsul; export portabil al întregului set de date pentru un cursant în format structurat (PDF, Excel, JSON) conform art. 20 GDPR. La controlul ANSPDCP, administratorul furnizorului generează în câteva minute rapoartele de conformitate. La controlul Comisiei de Autorizare, evidența completă a documentelor de formare conform OG 129/2000 și HG 522/2003 este disponibilă centralizat.

Resurse asociate pentru furnizorii de formare

Software formare profesională ANC Gestionare cursanți Multi-utilizator și roluri Completare certificate ANC Import și export date Politica de confidențialitate Despre BSIT Consulting Prețuri și abonamente Digitalizare centru formare profesională Metodologia certificării formării profesionale

Datele cursanților dumneavoastră sunt în siguranță cu UCENIC

UCENIC oferă securitate date GDPR formare profesională la standardele Regulamentului UE 2016/679: criptare la repaus și transmisie HTTPS, backup zilnic automat în UE cu RTO sub 4h și RPO sub 1h, audit log inviolabil, flow-uri native pentru toate drepturile GDPR și conformitate strictă cu OG 129/2000 plus HG 522/2003. Acordul de prelucrare a datelor (DPA) între furnizor și BSIT Consulting este disponibil pentru semnătură la onboarding. Testați gratuit timp de 7 zile.

Creează cont de test gratuit Vezi prețuri