- Colectăm doar datele necesare pentru a te servi (nume, email, telefon, date facturare).
- Nu vindem și nu închiriem datele tale către terți. Niciodată.
- Plățile cu cardul sunt procesate de Netopia — nu salvăm numerele de card.
- Ai dreptul să accesezi, să modifici sau să ștergi datele tale oricând (GDPR Art. 15-22).
1. Operatorul de date
CERVIT SOLUTIONS SRL (devERP) este operatorul datelor cu caracter personal colectate prin site-ul devERP.ro și serviciile asociate.
- CUI: 22506808 · RC: J23/2599/2007
- Sediul social: Otopeni, Intr. Violetelor 6, Jud. Ilfov, România
- Email DPO: cervitsol@gmail.com
2. Ce date colectăm
| Categorie | Date specifice | Sursa |
|---|---|---|
| Identificare | Nume, email, telefon | Cont client, formular contact |
| Facturare | Adresă, oraș, județ, cod poștal, CUI (PJ), companie | Checkout / facturare |
| Plată | Token card (binding ID Netopia), nu numărul cardului | Procesator Netopia |
| Tehnice | IP, user agent, log-uri server, cookie-uri | Automat |
| Conținut | Mesaje în tichete, atașamente, conversații | Tu, când deschizi tichete |
| Marketing | Email + consimțământ newsletter (opțional) | Bifa explicită |
3. Temeiul legal al prelucrării (GDPR Art. 6)
- Executarea contractului (Art. 6.1.b) — comenzi, livrare servicii, suport, facturare;
- Obligație legală (Art. 6.1.c) — păstrare facturi 10 ani, raportări fiscale;
- Interes legitim (Art. 6.1.f) — securitate site, prevenire fraudă, log-uri tehnice;
- Consimțământ (Art. 6.1.a) — newsletter, cookie-uri non-esențiale (analytics).
4. Cât păstrăm datele
- Cont client: până ștergi contul + 90 zile pentru log-uri de securitate;
- Facturi și contracte: 10 ani (obligație legală fiscală, Codul Fiscal art. 25);
- Tichete suport închise: 24 luni de la închidere;
- Log-uri tehnice (IP, requests): 30 zile;
- Newsletter: până te dezabonezi;
- Cookie-uri: vezi Politica de Cookies.
5. Cine accesează datele
5.1 Echipa internă
Doar angajații cu rol de admin sau agent de suport, sub angajament de confidențialitate. Acces logat și auditat în audit_log.
5.2 Procesatori (sub-procesori GDPR)
- Netopia mobilPay SA — procesare plăți cu cardul (Romania, certificat PCI DSS Level 1)
- Contabo GmbH — hosting VPS server (Germania, GDPR-compliant)
- Google LLC — Google Analytics (cu IP anonimizat, doar dacă accepți cookie-uri analytics)
- BNR (Banca Națională a României) — curs valutar oficial (date publice, nu trimitem date personale)
Nu transferăm date în afara UE/SEE fără garanții adecvate (Standard Contractual Clauses).
5.3 NU partajăm date
- NU vindem datele tale;
- NU le închiriem în scopuri publicitare;
- NU le partajăm cu rețele sociale (Facebook Pixel etc. — neutilizate).
6. Drepturile tale (GDPR Art. 15–22)
- Dreptul de acces — vezi ce date avem despre tine (export complet în 30 zile);
- Dreptul la rectificare — corectezi date incorecte direct în portal/profile;
- Dreptul la ștergere („dreptul de a fi uitat") — cere ștergerea contului și a datelor asociate; obligațiile fiscale limitează parțial (facturile rămân 10 ani anonimizate);
- Dreptul la restricționare — pauzează prelucrarea în anumite condiții;
- Dreptul la portabilitate — primești datele în format JSON/CSV pentru transfer la alt furnizor;
- Dreptul de opoziție — refuzi prelucrarea în interes legitim sau marketing;
- Dreptul de a nu fi supus deciziilor automate — nu folosim profiling automat.
6.1 Cum exerciți drepturile
Trimite cerere la cervitsol@gmail.com sau prin tichet în portal. Răspundem în maxim 30 zile (extensibil cu încă 60 zile pentru cazuri complexe, cu notificare).
Cererile sunt gratuite, exceptând cazuri vădit nefondate sau repetitive (caz în care percepem un tarif administrativ proporțional).
7. Reclamații la autoritate
Dacă consideri că prelucrarea datelor tale încalcă GDPR, poți reclama la:
ANSPDCP — Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal
- B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București, 010336
- Telefon: +40 318 059 211
- Email: anspdcp@dataprotection.ro
- Site: dataprotection.ro
8. Măsuri de securitate
Implementăm măsuri tehnice și organizatorice corespunzătoare:
- HTTPS peste tot (TLS 1.2+, certificate Let's Encrypt);
- HSTS, CSP, X-Frame-Options, headers de securitate;
- Bcrypt pentru parole (cost factor 10), niciodată stocate în clar;
- 2FA TOTP disponibil pentru conturi admin;
- Backup zilnic criptat al bazei de date și fișierelor;
- Rate limiting pe endpoint-uri sensibile (login, API);
- SecurityGuard — detectare automată scannere și ban IP;
- Audit log pentru toate acțiunile admin (cine a modificat ce, când, de pe ce IP);
- Acces restrictiv la server — cheie SSH, autentificare cu parolă dezactivată.
9. Notificare incidente
În caz de breach (acces neautorizat la date), notificăm ANSPDCP în 72 ore și utilizatorii afectați conform GDPR Art. 33-34.
10. Minori
Serviciile devERP sunt destinate exclusiv persoanelor cu vârsta peste 18 ani. Nu colectăm intenționat date despre minori. Dacă identificăm un cont creat de un minor, contul este suspendat și datele șterse.
11. Drepturi specifice altor jurisdicții
Pentru utilizatori din SUA (CCPA — California), Brazilia (LGPD) sau alte jurisdicții, drepturile echivalente celor din GDPR se aplică prin analogie. Contactează-ne pentru cereri specifice.
12. Modificări
Această politică poate fi actualizată. Versiunea curentă e disponibilă la devERP.ro/pagina/politica-de-confidentialitate. Modificările semnificative sunt notificate prin email cu minim 30 zile înainte.
13. Contact DPO
- Email:cervitsol@gmail.com (subiect: „GDPR — [tip cerere]")
- Adresă: Otopeni, Intr. Violetelor 6, Jud. Ilfov, România
- Tichet:devERP.ro/portal/tickets/new