Document GDPR · v2.0

Politica de
Confidențialitate

Versiune 2.0 · În vigoare din 5 mai 2026 · Conform Regulamentului (UE) 2016/679 (GDPR) și Legii 190/2018
Operator: CAI Technology SRL · CUI RO50512457 · Sediu: București, Sector 3
Contact DPO: tehnic@caitech.ro

1. Identitatea Operatorului

CAI Technology SRL ("Operator") este responsabil de prelucrarea datelor cu caracter personal colectate prin Platforma ARTEMIS. Date complete:

• Denumire: CAI Technology SRL
• CUI: RO50512457
• Reg. Com.: J2024020380005
• Sediu: Str. Victor Brauner Bl.1 Sc.4 Ap.5, Sector 3, București, 030611
• Email DPO: tehnic@caitech.ro
• Operator înregistrat ANSPDCP (Autoritatea Națională Supraveghere Prelucrare Date Caracter Personal)

2. Categorii de Date Prelucrate

2.1 Date colectate la crearea contului

• Email business (obligatoriu — identificator unic)
• Nume firmă / persoană (obligatoriu)
• CUI / cod TVA (opțional, pentru facturi)
• Reprezentant legal (opțional)
• Hash parolă (scrypt, niciodată în clar)
• Secret TOTP (criptat, pentru MFA)

2.2 Date colectate automat

• Adresă IP (logate la fiecare cerere — securitate)
• User-Agent browser
• Geolocation aproximativă (țară, oraș — derivată din IP)
• Activitate platformă (paginile vizitate, audituri lansate)
• Timestamp acțiuni
• JWT session tokens (24h-8h, criptate)

2.3 Date plăți (procesate de Stripe)

• NU stocăm date carduri pe serverele noastre
• Stripe (procesator certificat PCI DSS Level 1) gestionează datele de plată
• Primim doar Stripe Customer ID + Subscription ID
• Pentru facturi: nume, adresă, CUI client

2.4 Date sensibile NU se colectează

• Nu colectăm date privind sănătatea, opinii politice, religioase, sexuale
• Nu folosim cookies de tracking third-party
• Nu integrăm pixeli Facebook / Google Ads / TikTok

3. Scopurile și Bazele Legale

Scop	Bază legală GDPR	Categorii date
Furnizare serviciu Platformă	Art. 6(1)(b) — Contract	Cont, audituri, IP
Facturare și contabilitate	Art. 6(1)(c) — Obligație legală	Date facturare
Securitate Platformă (audit log, blocare IP malicioase)	Art. 6(1)(f) — Interes legitim	IP, sesiuni
Marketing direct (newsletter)	Art. 6(1)(a) — Consimțământ	Email (cu opt-in)
Comunicări service tehnic	Art. 6(1)(b) — Contract	Email
Conformitate NIS2/GDPR	Art. 6(1)(c)	Audit log 5y
Investigații abuz / fraudă	Art. 6(1)(f) — Interes legitim	Toate

4. Persoane Împuternicite (Sub-procesatori)

Pentru a funcționa, Platforma transmite anumite date către sub-procesatori certificați:

Sub-procesator	Scop	Localizare	Garanții
Stripe Inc.	Procesare plăți	Irlanda + USA	Standard Contractual Clauses (UE Decisia 2021/914) + PCI DSS L1
Cloudflare Inc.	CDN + WAF (opțional)	Global	SCC + ISO 27001
Hetzner Online GmbH (opțional cluster backup)	Hosting backup	Germania	UE
Anthropic / OpenAI / Mistral (LLM cloud opțional)	AI processing	USA / UE	SCC; date anonimizate

Date stocate exclusiv în UE (DC propriu CAI Technology): conturi useri, audituri, findings, audit log, parole hash, MFA secrets. Toate replicate exclusiv în România.

5. Drepturile Persoanelor Vizate

Conform Art. 15-22 GDPR, aveți următoarele drepturi:

• Dreptul la informare (Art. 13-14) — prin prezentul document
• Dreptul de acces (Art. 15) — copie integrală a datelor stocate
• Dreptul la rectificare (Art. 16) — corectare date inexacte
• Dreptul la ștergere / "uitare" (Art. 17) — sub rezerva obligațiilor legale (facturare 10y, audit log 5y)
• Dreptul la restricționare (Art. 18)
• Dreptul la portabilitate (Art. 20) — export JSON al datelor cont + audituri
• Dreptul de opoziție (Art. 21) — pentru marketing
• Dreptul de a nu fi supus unei decizii automate (Art. 22)
• Dreptul de plângere la ANSPDCP — www.dataprotection.ro

Cum exercitați aceste drepturi: trimitere email la tehnic@caitech.ro. Răspuns în maximum 30 zile, gratuit. Pentru cereri vădit neîntemeiate sau excesive (repetate), putem aplica taxă rezonabilă sau refuza.

6. Securitatea Datelor

CAI Technology implementează măsuri tehnice și organizatorice adecvate:

• Criptare la tranzit: TLS 1.3 obligatoriu
• Criptare la odihnă: AES-256 pentru date sensibile (parole, secrete TOTP, findings)
• Hash parole: scrypt (n=16384, r=8, p=1)
• MFA obligatoriu pentru toți useri
• Audit log 5 ani pentru toate acțiunile admin
• Backup encriptat zilnic + retenție 90 zile
• SOC monitoring 24/7 (Wazuh + Suricata + Falco)
• Incident response plan documentat
• Pen-test anual al propriei platforme (eat your own dog food)
• Personal training GDPR + NIS2 anual

7. Cookies și Tehnologii Similare

Platforma folosește MINIM cookies necesare:

Cookie	Scop	Durată	Tip
bos_token	Sesiune autentificare	8 ore	HttpOnly, Secure, SameSite=Lax
cookie_consent	Memorare consimțământ banner	1 an	Funcțional

Nu folosim cookies de tracking, advertising sau analytics third-party. Nu se cere banner cookies pentru cookies strict necesare (Art. 5(3) Directive 2002/58/CE).

8. Perioade de Retenție

Vezi Art. 11 din Termenii și Condițiile pentru lista completă cu durate de retenție per categorie de date.

9. Transferuri Internaționale

Datele sunt stocate primar în România (UE). Transferuri în afara UE pot avea loc DOAR către sub-procesatori cu Standard Contractual Clauses (SCC) sau certificare adecvare (Privacy Shield successor / EU-US Data Privacy Framework).

10. Decizii Automate și Profilare

Platforma utilizează decizii automate pentru:

• Blocarea IP-urilor cu reputație malicioasă (Spamhaus DROP, Tor exit, blacklist)
• Triajul automat al findings (AI Classifier — sever ity / false-positive)
• Pre-flight check înainte de scan

Aveți dreptul de a contesta orice decizie automată cu impact semnificativ. Trimite email la tehnic@caitech.ro.

11. Minori

Platforma este destinată exclusiv profesioniștilor. NU acceptăm conturi pentru persoane sub 18 ani. La onboarding solicităm declarație vârstă.

12. Modificări ale Politicii

Modificări semnificative se comunică prin email cu 30 zile preaviz. Continuarea utilizării = acceptare tacită.

Document conform GDPR + Legea 190/2018 + ANSPDCP guidance · Versiunea 2.0 · 2026-05-05
Pentru întrebări: tehnic@caitech.ro · Plângere ANSPDCP: www.dataprotection.ro