|
ACORD DE PRELUCRARE A DATELOR CU CARACTER PERSONAL (DATA PROCESSING AGREEMENT - DPA) |
Anexă contractuală pentru serviciile Claus Web
Shared Hosting, VPS, Servere Dedicate, administrare cPanel/WHM, înregistrare domenii și soluții de Backup
|
Versiune |
1.0 |
|
Data |
16.03.2026 |
|
Aplicabilitate |
Se aplică prelucrărilor în care Claus Web SRL acționează ca Persoană Împuternicită sau sub-persoană împuternicită pentru Beneficiar. |
|
Observație |
Valorile standard din Anexa 5 și lista nominală a sub-procesatorilor din Anexa 4 trebuie validate operațional înainte de adoptarea finală și, dacă este cazul, completate cu datele comerciale convenite în Comanda de Servicii. |
|
Părți: CLAUS WEB SRL, în calitate de Persoană Împuternicită, și Beneficiarul serviciilor, în calitate de Operator; în situația în care Beneficiarul acționează el însuși ca persoană împuternicită față de un terț, prezentul Acord operează ca acord de sub-procesare. |
|
Scop: Prezentul document stabilește regulile de prelucrare a datelor cu caracter personal în contextul serviciilor Claus Web și delimitează clar responsabilitatea asupra infrastructurii, a aplicațiilor instalate de Beneficiar și a serviciilor conexe precum domeniile, licențele software și backup-ul. |
Părțile
1. CLAUS WEB SRL, persoană juridică română, cu sediul în Satu Mare, str. Grigore Ureche nr. 20, cod poștal 440108, înregistrată la Oficiul Registrului Comerțului sub nr. J30/791/2005, având CUI RO17759260, adresă de contact: relatiiclienti@clausweb.ro / asistenta@clausweb.ro, punct de contact pentru protecția datelor: dpo@clausweb.ro, denumită în continuare „Persoana Împuternicită” sau „Claus Web”;
2. Beneficiarul / Clientul serviciilor Claus Web, ale cărui date de identificare rezultă din Contractul Principal, comanda online acceptată, fișa de client sau documentul comercial relevant, denumit în continuare „Operatorul”;
denumite împreună „Părțile” și separat „Partea”, au convenit încheierea prezentului Acord de Prelucrare a Datelor cu Caracter Personal („Acordul” sau „DPA”).
1. Definiții
În sensul prezentului Acord, termenii „date cu caracter personal”, „prelucrare”, „Operator”, „Persoană Împuternicită”, „persoană vizată”, „încălcare a securității datelor cu caracter personal” și „sub-procesator” au înțelesul prevăzut de Regulamentul (UE) 2016/679 („GDPR”).
„Contract Principal” înseamnă contractul-cadru, termenii și condițiile, comanda online, oferta acceptată sau orice alt document prin care Operatorul contractează servicii Claus Web.
„Date ale Beneficiarului” înseamnă datele cu caracter personal încărcate, stocate, transmise, găzduite, replicate, accesate ori restaurate prin serviciile contractate, inclusiv conținutul site-urilor, bazelor de date, conturilor e-mail, copiilor de siguranță și fișierelor aplicațiilor Beneficiarului.
„Date de Serviciu Claus Web” înseamnă datele prelucrate de Claus Web pentru administrarea relației comerciale proprii, facturare, suport, antifraudă, jurnalizare tehnică, securitate, gestionarea abuzurilor, conformitate legală sau apărarea drepturilor sale. Pentru aceste prelucrări, Claus Web poate acționa ca operator distinct, iar acestea nu intră, în această măsură, sub incidența prezentului DPA.
„Date de registru / domeniu” înseamnă datele registrantului, de contact, administrative, tehnice ori de facturare necesare pentru înregistrarea, transferul, reînnoirea, administrarea sau soluționarea disputelor privind numele de domeniu. În raport cu aceste date, rolurile pot fi stabilite de politicile registrelor, registrarilor sau de obligațiile legale incidente.
2. Obiect, scop și ordine de prioritate
Prezentul Acord reglementează condițiile în care Claus Web prelucrează Datele Beneficiarului în numele Operatorului, exclusiv pentru furnizarea serviciilor contractate și a operațiunilor suport strict necesare acestora.
DPA-ul face parte integrantă din Contractul Principal. În caz de neconcordanță între prezentul DPA și Contractul Principal, prevalează prezentul DPA exclusiv pentru aspectele privind prelucrarea datelor cu caracter personal.
Prezentul DPA nu transformă automat toate activitățile Claus Web în activități de tip Persoană Împuternicită. Prelucrările pentru care Claus Web stabilește propriile scopuri și mijloace esențiale - precum cele de facturare, asistență, securitate operațională, jurnalizare, prevenirea abuzurilor, executarea obligațiilor legale ori administrarea datelor de domeniu impuse de registre sau registrari - rămân în afara acestui DPA, în măsura în care Claus Web acționează ca operator distinct.
3. Calificarea rolurilor pe tipuri de servicii
Pentru serviciile de Shared Hosting, Hosting Reseller, VPS, Servere Dedicate, administrare cPanel/WHM și Backup, Claus Web acționează, de regulă, ca Persoană Împuternicită sau, după caz, sub-persoană împuternicită, în ceea ce privește Datele Beneficiarului prelucrate în infrastructura, mediile de stocare, copiile de siguranță și intervențiile tehnice efectuate la cererea sau în interesul contractual al Operatorului.
Dacă Beneficiarul este el însuși persoană împuternicită pentru un terț (de exemplu, agenție, reseller, integrator, administrator de site-uri sau furnizor managed services), Beneficiarul declară și garantează că este autorizat să desemneze Claus Web ca sub-procesator și că va furniza orice instrucțiuni sau aprobări necesare la nivelul lanțului contractual.
În cazul serviciilor de înregistrare și administrare a domeniilor, Claus Web poate acționa, după caz, ca intermediar contractual, operator distinct ori destinatar separat, împreună cu registry/registrar-ul relevant, în măsura în care scopurile și mijloacele esențiale sunt impuse de politicile aplicabile extensiei de domeniu, de regulile ICANN, de condițiile registrului național sau de obligații legale specifice. În această măsură, aceste prelucrări nu sunt considerate, în integralitate, prelucrări efectuate exclusiv pe baza instrucțiunilor Operatorului.
Descrierea detaliată a operațiunilor de prelucrare, a serviciilor și a delimitărilor de rol se regăsește în Anexa 1.
4. Instrucțiunile documentate ale Operatorului
Claus Web prelucrează Datele Beneficiarului numai pe baza instrucțiunilor documentate ale Operatorului, astfel cum rezultă din Contractul Principal, comenzile de servicii, setările alese în panoul de administrare, tichetele de suport, mesajele transmise de persoanele de contact autorizate, API-urile folosite ori alte canale convenite între Părți.
Claus Web poate refuza să execute o instrucțiune care este vădit nelegală, disproporționată din perspectiva securității ori incompatibilă cu arhitectura tehnică a serviciului; în acest caz, Claus Web va informa Operatorul fără întârzieri nejustificate.
În lipsa unor instrucțiuni exprese, Claus Web poate efectua acele operațiuni tehnice necesare pentru menținerea disponibilității, integrității, securității și rezilienței serviciilor, inclusiv replicare, jurnalizare, monitorizare, migrare, depanare, actualizări de infrastructură, testare de restaurare și măsuri de răspuns la incidente, în măsura în care acestea rămân compatibile cu Contractul Principal și cu prezentul DPA.
5. Obligațiile Claus Web în calitate de Persoană Împuternicită
Claus Web se obligă să asigure că persoanele autorizate să prelucreze Datele Beneficiarului sunt ținute de obligații de confidențialitate contractuale ori legale și au acces doar pe baza principiului „need to know”.
Claus Web implementează și menține măsuri tehnice și organizatorice adecvate, raportate la riscurile relevante, pentru a proteja confidențialitatea, integritatea, disponibilitatea și reziliența mediilor în care sunt prelucrate Datele Beneficiarului.
Claus Web nu va utiliza Datele Beneficiarului în scopuri proprii de marketing, profilare comercială sau monetizare și nu va dezvălui aceste date către terți, cu excepția cazurilor permise de prezentul DPA, de Contractul Principal sau de lege.
În cazul în care Claus Web este obligată prin dreptul Uniunii sau dreptul intern să dezvăluie Datele Beneficiarului, aceasta va informa Operatorul anterior divulgării, cu excepția cazului în care legea interzice o asemenea informare.
6. Măsuri tehnice și organizatorice. Aliniere GDPR - NIS2 - ISO/IEC 27001
Claus Web menține un cadru de securitate bazat pe evaluarea riscurilor și pe controale tehnice și organizaționale adecvate, în sensul art. 32 GDPR, având în vedere, după caz, principiile de reziliență operațională și bunele practici de management al securității informației asociate standardului ISO/IEC 27001.
Măsurile includ, după caz și fără a se limita la: securitate fizică a infrastructurii, control al accesului, segregare logică între clienți, protecție perimetrală, jurnalizare și monitorizare, managementul vulnerabilităților, managementul schimbărilor, copii de siguranță, recuperare în caz de dezastru, procese de răspuns la incidente, evaluarea furnizorilor critici și proceduri de ștergere sigură.
Claus Web poate modifica sau actualiza aceste măsuri pentru a răspunde evoluției tehnologice sau a amenințărilor cibernetice, cu condiția de a nu reduce în mod substanțial nivelul global de protecție convenit. Măsurile de referință sunt descrise în Anexa 2.
7. Obligațiile Operatorului. Delimitarea responsabilităților
Operatorul rămâne responsabil pentru legalitatea prelucrării, determinarea temeiurilor juridice, furnizarea notelor de informare către persoanele vizate, stabilirea perioadelor de retenție aplicabile propriilor prelucrări și soluționarea solicitărilor de exercitare a drepturilor.
Operatorul este responsabil pentru datele încărcate în serviciile Claus Web, pentru arhitectura aplicațiilor instalate, pentru configurarea și securitatea acestora, inclusiv WordPress, plugin-uri, teme, scripturi proprii, baze de date, conturi de utilizator, parole, chei criptografice, certificate, politici MFA și orice alt element aflat sub controlul său logic sau funcțional.
Pentru VPS-urile și serverele dedicate neadministrate, Operatorul este responsabil pentru sistemul de operare invitat, hardening, patch management, firewall intern, EDR/antimalware, configurarea jurnalizării, criptarea la nivelul aplicației sau al sistemului de fișiere și orice alte măsuri din interiorul mediului pe care îl administrează.
Operatorul are obligația de a alege un nivel de serviciu adecvat sensibilității datelor prelucrate. Serviciile standard de tip shared hosting nu trebuie utilizate pentru prelucrări cu risc ridicat, la scară largă sau cu cerințe sectoriale speciale fără o evaluare prealabilă a adecvării tehnice, contractuale și de securitate.
Matricea detaliată a responsabilităților este prevăzută în Anexa 3.
8. Asistență acordată Operatorului
Ținând seama de natura prelucrării și de informațiile aflate la dispoziția sa, Claus Web va acorda asistență rezonabilă Operatorului pentru îndeplinirea obligațiilor privind securitatea prelucrării, notificarea încălcărilor securității datelor, efectuarea DPIA și consultarea prealabilă a autorității de supraveghere, atunci când acest lucru este necesar.
În materia solicitărilor persoanelor vizate, Claus Web va transmite Operatorului, fără întârzieri nejustificate, orice cerere primită direct care vizează Datele Beneficiarului și îl va sprijini, într-o măsură rezonabilă, pentru localizarea, exportul, restricționarea ori ștergerea datelor, în limitele tehnice ale serviciului.
În cazul serviciilor în care Claus Web nu are acces logic curent la conținutul din aplicația Beneficiarului sau în care identificarea datelor ar implica eforturi disproporționate, Operatorul va furniza localizări, identificatori, intervale temporale, conturi, cutii poștale, baze de date sau alte elemente tehnice necesare pentru executarea solicitării.
9. Gestionarea incidentelor de securitate și a încălcărilor de date
Claus Web menține procese interne de identificare, escaladare, investigare, control și documentare a incidentelor de securitate care pot afecta Datele Beneficiarului ori disponibilitatea, integritatea și reziliența serviciilor.
În cazul unui incident de securitate confirmat în mod rezonabil care afectează sau este susceptibil să afecteze Datele Beneficiarului ori disponibilitatea/reziliența serviciilor într-o manieră relevantă pentru Operator, Claus Web va notifica Operatorul fără întârzieri nejustificate și, de regulă, în cel mult 24 de ore de la confirmarea rezonabilă a incidentului.
Notificarea inițială va include, în măsura informațiilor disponibile la acel moment: natura incidentului, data și ora estimată, sistemele și serviciile afectate, categoriile de date posibil implicate, măsurile de limitare deja adoptate și pașii recomandați Operatorului. Claus Web va furniza actualizări suplimentare pe măsură ce investigația avansează, țintind, acolo unde este posibil, o actualizare relevantă în intervalul de 72 de ore de la notificarea inițială.
Prezentul DPA nu transferă asupra Claus Web obligația Operatorului de a decide dacă trebuie notificată autoritatea de supraveghere sau persoanele vizate în temeiul art. 33-34 GDPR. Totuși, Claus Web va coopera rezonabil pentru ca Operatorul să își poată îndeplini obligațiile legale și, dacă este cazul, obligațiile sale specifice de raportare în materie de securitate cibernetică, inclusiv cele rezultate din regimul NIS2 aplicabil Operatorului.
În cazul unui incident în desfășurare, Claus Web poate furniza informațiile etapizat, fără întârzieri nejustificate, în funcție de evoluția tehnică a investigației și de necesitatea de a nu compromite măsurile de răspuns.
10. Sub-procesatori
Operatorul autorizează Claus Web să utilizeze sub-procesatori pentru furnizarea serviciilor, în condițiile prezentului DPA și ale Anexei 4. Claus Web se obligă să impună acestor sub-procesatori obligații de protecție a datelor și securitate substanțial echivalente cu cele prevăzute în prezentul DPA, în măsura în care aceștia prelucrează Date ale Beneficiarului în numele Claus Web.
Operatorul acordă o autorizare generală prealabilă pentru categoriile de sub-procesatori menționate în Anexa 4, inclusiv furnizori de datacenter/colocare, furnizori de licențe și platforme de administrare hosting, furnizori de backup și recovery, furnizori de securitate/monitorizare și operatori de registru/registrari relevanți pentru serviciile de domenii.
Claus Web va informa Operatorul cu privire la adăugarea sau înlocuirea unui sub-procesator relevant într-un termen rezonabil, de regulă cu cel puțin 15 zile înainte de schimbarea materială, acolo unde acest lucru este posibil. În cazurile urgente determinate de securitate, continuitate operațională ori încetarea relației cu un furnizor critic, notificarea poate fi transmisă ulterior, fără întârzieri nejustificate.
Operatorul poate formula obiecții motivate, în scris, exclusiv pentru motive serioase și documentate privind protecția datelor. Dacă Părțile nu identifică o soluție rezonabilă, Operatorul poate denunța numai serviciul afectat de respectiva schimbare, fără a afecta celelalte servicii.
11. Transferuri internaționale
Claus Web nu va transfera Datele Beneficiarului în afara Spațiului Economic European decât în măsura în care există un temei legal valabil potrivit capitolului V GDPR, cum ar fi o decizie de adecvare, clauze contractuale standard sau alt mecanism legal aplicabil.
Atunci când anumite servicii implică furnizori de software, suport ori infrastructură localizați în afara SEE, Claus Web va implementa garanțiile adecvate relevante pentru activitatea desfășurată în calitate de persoană împuternicită. Pentru prelucrările în care terții respectivi acționează ca operatori independenți - de exemplu anumite registre/registrari sau furnizori de licențe care colectează date pentru validare proprie - se vor aplica documentațiile și temeiurile proprii ale acelor entități.
12. Audit, demonstrarea conformității și limitarea testelor intruzive
La cererea rezonabilă a Operatorului, Claus Web va pune la dispoziție informațiile necesare pentru a demonstra conformitatea cu art. 28 GDPR, inclusiv prin răspunsuri la chestionare, furnizarea de politici, extrase, declarații, rezumate de controale, certificate sau rapoarte, în măsura în care acestea pot fi comunicate fără a afecta confidențialitatea, securitatea altor clienți ori secretul comercial.
Operatorul poate solicita un audit documentar o dată pe an. Un audit on-site poate fi efectuat numai atunci când mijloacele documentare sunt insuficiente și există un motiv serios legat de risc sau de neconformitate, cu notificare prealabilă de cel puțin 30 de zile lucrătoare, pe durata programului de lucru, cu respectarea regulilor de securitate Claus Web și fără acces la datele sau mediile altor clienți.
Nu sunt permise scanări active, teste de penetrare sau alte activități intruzive asupra infrastructurii Claus Web fără acordul prealabil expres, scris, al Claus Web și definirea unui plan de testare, a unei ferestre tehnice și a măsurilor de control al riscului.
Cu excepția cazului în care auditul evidențiază o încălcare materială imputabilă Claus Web, costurile auditului sunt suportate de Operator.
13. Returnarea, exportul, retenția și ștergerea datelor
Pe durata serviciului, Operatorul poate exporta ori descărca Datele Beneficiarului prin instrumentele tehnice puse la dispoziție de Claus Web, în limitele serviciului contractat: panouri de administrare, SSH, backup manager, API, export baze de date, IMAP/POP3, tichete de suport sau alte mecanisme similare.
La încetarea Contractului Principal ori a serviciului afectat, Claus Web poate menține, conform regulilor comerciale și tehnice aplicabile, o fereastră standard de export/recuperare de 15 zile calendaristice, dacă serviciul nu a fost dezactivat imediat din motive de securitate, abuz, obligație legală sau neplată severă. După expirarea acestei ferestre, Datele Beneficiarului din mediul de producție vor fi șterse ori făcute ireversibil inaccesibile, de regulă în maximum 30 de zile.
Când există copii de siguranță rotaționale, reziduale sau imutabile, acestea pot rămâne temporar în mediile de backup până la ieșirea lor naturală din ciclul de retenție, fără a fi restaurate în mod obișnuit în producție, exceptând situațiile de recuperare autorizată, obligațiile legale ori nevoile de investigare a incidentelor. Valorile standard Claus Web pentru retenția backup-urilor sunt prevăzute în Anexa 5 și se aplică numai în lipsa unei convenții comerciale diferite.
Operatorul înțelege și acceptă că backup-ul reprezintă o măsură de continuitate și recuperare și nu echivalează, prin el însuși, cu un serviciu de arhivare legală, eDiscovery, păstrare probatorie sau retenție sectorială pe termen lung. Operatorul rămâne responsabil pentru propriile obligații de arhivare, retenție și conservare a probelor.
Datele de registru / domeniu, datele de facturare, tichetele de suport, logurile operaționale, evidențele anti-abuz și alte date pentru care Claus Web ori un terț acționează ca operator distinct pot fi păstrate după încetarea relației contractuale pe perioada impusă de lege, de politicile registrelor sau de interesul legitim justificat.
14. Răspundere
Fiecare Parte răspunde pentru încălcarea obligațiilor ce îi revin în temeiul GDPR, al prezentului DPA și al Contractului Principal, potrivit dreptului aplicabil.
Cu excepția cazurilor în care legea aplicabilă interzice limitarea ori excluderea răspunderii, orice limitări, excluderi și plafoane de răspundere prevăzute în Contractul Principal rămân aplicabile și prezentului DPA. Nicio dispoziție din prezentul DPA nu va fi interpretată în sensul de a exclude răspunderea pentru fraudă, dol sau alte situații în care o asemenea excludere este interzisă de lege.
15. Durata și încetarea
Prezentul DPA intră în vigoare la data intrării în vigoare a Contractului Principal ori la data activării serviciului și rămâne aplicabil pe întreaga durată în care Claus Web prelucrează Date ale Beneficiarului în numele Operatorului, inclusiv pe durata retenției tehnice reziduale a backup-urilor potrivit Anexei 5.
Încetarea Contractului Principal atrage încetarea de drept a prezentului DPA, fără a aduce atingere clauzelor care, prin natura lor, trebuie să continue să producă efecte după încetare, inclusiv cele privind confidențialitatea, răspunderea, auditul în curs, retenția reziduală a backup-urilor și obligațiile legale de păstrare.
16. Legea aplicabilă și soluționarea disputelor
Prezentul DPA se supune legii române și dreptului Uniunii Europene aplicabil protecției datelor.
Orice dispută privind interpretarea sau executarea prezentului DPA va urma regimul de soluționare prevăzut în Contractul Principal, iar în lipsa unei asemenea clauze, competența revine instanțelor competente de la sediul Claus Web, cu respectarea normelor imperative aplicabile.
ANEXA 1 - Descrierea prelucrării pe tipuri de servicii
Prezenta anexă descrie, la nivel operațional, principalele scenarii de prelucrare, tipurile de date și delimitările de rol. Tabelul are caracter contractual și trebuie interpretat împreună cu Contractul Principal, cu politica serviciului și cu matricea de responsabilități din Anexa 3.
|
Serviciu |
Rol Claus Web |
Operațiuni de prelucrare |
Tipuri orientative de date |
Persoane vizate și observații |
|
Shared Hosting / Hosting Reseller |
Persoană Împuternicită sau sub-persoană împuternicită, pentru datele găzduite și operațiunile tehnice asociate. |
Găzduire, stocare, replicare, backup dacă este inclus/activat, suport tehnic, migrare, acces administrativ limitat la cerere, monitorizare, jurnalizare tehnică. |
Conținut site, baze de date, fișiere media, conturi e-mail, loguri tehnice, copii de siguranță. |
Clienți/angajați/utilizatori finali ai Operatorului. Mediu multi-tenant; segregarea este în principal logică. Beneficiarul răspunde pentru aplicațiile sale și pentru datele introduse. |
|
VPS neadministrat |
Persoană Împuternicită limitată la nivel de infrastructură; fără acces logic curent la conținutul din guest OS, cu excepția suportului autorizat sau a urgențelor operaționale. |
Alocare resurse virtuale, stocare, conectivitate, hipervizor, snapshot/backup doar dacă este comandat, suport pentru nivelul de infrastructură. |
Orice date stocate de Operator în mașina virtuală; Claus Web nu le accesează în mod obișnuit. |
Beneficiarul răspunde pentru guest OS, patch-uri, firewall intern, EDR, aplicații, baze de date și cheile criptografice. |
|
VPS administrat / server administrat cu cPanel/WHM |
Persoană Împuternicită sau sub-persoană împuternicită, inclusiv pentru intervențiile administrative convenite. |
Instalare și administrare cPanel/WHM, gestionare servicii de bază, migrare, backup dacă este activat, depanare și acces administrativ în limita mandatului contractual. |
Conturi cPanel/WHM, date de site, baze de date, e-mail, loguri de administrare și copii de siguranță. |
Rolul Claus Web poate crește în funcție de pachetul managed. Beneficiarul rămâne responsabil pentru datele introduse, utilizatorii finali, aplicațiile instalate și utilizarea acreditărilor emise. |
|
Servere Dedicate neadministrate |
Persoană Împuternicită limitată la stratul fizic, conectivitate și, dacă este cazul, componentele contractate expres. |
Punere la dispoziție hardware, conectivitate, înlocuire componente, acces fizic controlat, suport de bază. Backup doar dacă este comandat. |
Date stocate de Operator pe serverul dedicat. |
Operatorul administrează sistemul de operare, aplicațiile, securitatea logică și legalitatea prelucrării. |
|
Înregistrare / transfer / reînnoire domenii |
În multe scenarii, Claus Web nu acționează exclusiv ca Persoană Împuternicită, ci ca operator distinct sau intermediar contractual, împreună cu registry/registrar-ul relevant. |
Colectare date registrant/contact, transmitere către registru/registrar, menținerea evidențelor necesare, procesare cereri de transfer/reînnoire/dispute, configurare DNS unde este contractat. |
Date registrant, contacte administrative/tehnice/de facturare, date de autentificare, date DNS/WHOIS sau echivalente. |
Pentru aceste date se aplică și politicile registrului/registrarului relevant (de ex. RoTLD/ICI, EURid, registrari acreditați ICANN, registre TLD). |
|
Soluții de Backup |
Persoană Împuternicită sau sub-persoană împuternicită pentru copiile de siguranță ale Datelor Beneficiarului. |
Creare, stocare, rotație, păstrare, restaurare la cerere, testare de recuperare, ștergere la expirarea ciclului de retenție. |
Copii ale fișierelor, bazelor de date, imaginilor de sistem, mailbox-urilor ori altor seturi de date incluse în politica de backup. |
Backup-ul nu substituie retenția legală. Restaurarea se face pe baza instrucțiunilor sau a serviciului contractat. |
ANEXA 2 - Măsuri tehnice și organizatorice de referință (TOMs)
Lista de mai jos descrie controalele minime de referință. Implementarea concretă poate varia în funcție de tipul serviciului, arhitectura tehnică, nivelul de administrare ales și analiza de risc actuală.
|
Familie de control |
Măsuri de referință Claus Web |
|
Guvernanță și politici |
Politici și proceduri interne privind securitatea informației și protecția datelor, roluri și responsabilități, reguli de acces, control schimbări, relația cu furnizorii, evidențe și revizuiri periodice. |
|
Securitate fizică și infrastructură |
Servere găzduite în centre de date cu controale fizice adecvate, acces restricționat, protecție electrică, climatizare, redundanțe și monitorizare. |
|
Control acces |
Conturi nominale pentru personalul autorizat, privilegii minime, separarea rolurilor, gestionarea ciclului de viață al conturilor, parole puternice și, unde este disponibil și adecvat, MFA. |
|
Segregare și izolare |
Separare logică între clienți, izolare la nivel de cont/VM/serviciu, reguli de acces administrativ și controale pentru reducerea riscului de acces neautorizat între medii. |
|
Protecție rețea și endpoint |
Firewall-uri, filtre de trafic, protecții perimetrale, monitorizare și controale adecvate pentru reducerea riscului de acces neautorizat, malware și abuz. |
|
Jurnalizare și monitorizare |
Loguri operaționale și de securitate, monitorizare a serviciilor, corelare evenimente, alertare, investigație și păstrarea dovezilor potrivit scopurilor legitime și politicilor aplicabile. |
|
Management vulnerabilități și schimbări |
Actualizări de infrastructură, remedieri, testare înainte de implementare când este posibil, procese de change management și măsuri de minimizare a impactului operațional. |
|
Backup și recuperare |
Copii de siguranță, rotație, testare de restaurare, proceduri de disaster recovery și business continuity în funcție de tipul de serviciu și de opțiunile contractate. |
|
Răspuns la incidente |
Fluxuri de identificare, escaladare, analiză, limitare și comunicare a incidentelor, inclusiv suport pentru obligațiile Operatorului în materia notificărilor GDPR și, după caz, NIS2. |
|
Ștergere și dezafectare |
Ștergere logică sau alte metode adecvate de scoatere din uz, inclusiv rotație naturală a backup-urilor și proceduri de dezactivare a mediilor la încetarea serviciilor. |
|
Sub-procesatori și furnizori critici |
Evaluarea furnizorilor, clauze contractuale relevante, controale de securitate și confidențialitate, mecanisme de transfer internațional unde este cazul. |
ANEXA 3 - Matricea responsabilităților tehnice și juridice
Legenda: „CW” = responsabilitate principală Claus Web; „OP” = responsabilitate principală Operator; „Partajat” = cooperare între Părți, cu delimitarea indicată în observații.
|
Arie |
Responsabil principal |
Observații / delimitări |
|
Legalitatea prelucrării, temeiuri, note de informare, retenție proprie |
OP |
Operatorul stabilește scopurile și mijloacele esențiale ale prelucrării și răspunde față de persoanele vizate. |
|
Datele încărcate în site, baze de date, e-mail și aplicații |
OP |
Operatorul răspunde pentru acuratețea, legalitatea, minimizarea și caracterul adecvat al datelor. |
|
Securitatea fizică a centrelor de date și a hardware-ului |
CW |
Include acces fizic, medii de găzduire, conectivitate și elemente de infrastructură aflate sub control Claus Web sau al furnizorilor săi. |
|
Hipervizor, stocare, rețea, sisteme gazdă |
CW |
Pentru VPS și shared hosting Claus Web administrează stratul de infrastructură. |
|
Sistemul de operare invitat, hardening, patching intern în VPS/dedicat neadministrat |
OP |
Claus Web nu răspunde pentru guest OS și componentele din interiorul mediului administrat de client. |
|
Stack-ul de hosting de bază pe shared / managed cPanel |
Partajat |
CW gestionează platforma de bază; OP gestionează aplicațiile și setările sale funcționale. |
|
Aplicații instalate de Operator (WordPress, plugin-uri, teme, cod custom, scripturi proprii) |
OP |
Claus Web nu răspunde pentru vulnerabilitățile generate de codul sau configurațiile instalate de Operator, cu excepția serviciilor managed expres convenite. |
|
Conturi de utilizator, parole, MFA, permisiuni în aplicații |
OP |
CW răspunde doar pentru conturile sale administrative interne și pentru panourile aflate sub gestiunea sa. |
|
Licențe cPanel/WHM și activități tehnice ale platformei cPanel |
Partajat |
CW gestionează licențierea și, unde este cazul, administrarea tehnică; OP răspunde pentru utilizarea conturilor cPanel/WHM și acțiunile efectuate prin acestea. |
|
Activarea și configurarea backup-urilor |
Partajat |
CW asigură funcționarea mecanismului contractat; OP alege dacă achiziționează/activează opțiunea și definește, când este cazul, domeniul de acoperire. |
|
Verificarea consistenței logice a datelor restaurate |
OP |
CW poate executa restaurarea; OP validează integritatea funcțională și corectitudinea datelor restaurate. |
|
Răspuns la incidente de infrastructură |
CW |
CW gestionează incidentul la nivel de infrastructură și informează Operatorul conform clauzelor de notificare. |
|
Răspuns la incidente cauzate de aplicațiile, parolele sau configurațiile Operatorului |
OP |
CW poate oferi suport în limita serviciului contractat sau ca serviciu suplimentar. |
|
Datele de registru pentru domenii |
Partajat / în afara DPA în anumite scenarii |
Operatorul răspunde pentru exactitatea datelor de registrant; CW/registry/registrar procesează datele potrivit regulilor aplicabile extensiei și rolurilor proprii. |
|
Solicitări ale persoanelor vizate (DSAR) privind conținutul site-ului sau baza de date |
OP |
CW oferă asistență rezonabilă, dar nu înlocuiește Operatorul în analiza juridică și în răspunsul de fond. |
|
Abuz, spam, malware, încălcări T&C și ordine legale |
Partajat |
CW poate lua măsuri de protecție a infrastructurii și de conformitate; OP cooperează și remediază cauzele aflate sub controlul său. |
ANEXA 4 - Categorii de sub-procesatori și listă standard de referință
Disponibilă la cerere.
ANEXA 5 - Politica standard de backup, retenție și ștergere după încetarea serviciilor
Disponibilă la cerere.
