ПОЛІТИКА БЕЗПЕКИ AURAMED

• (1)Ця Політика тлумачиться разом із:

а) Регламентом (ЄС) 2016/679 («GDPR»);

б) Законом Румунії № 190/2018 про заходи щодо впровадження GDPR;

в) румунським та європейським законодавством, що застосовується до кібербезпеки;

г) де це застосовно, законодавством щодо електронних комунікацій, конфіденційності, безперервності бізнесу та управління інцидентами.

• (2)Щодо безпеки обробки персональних даних, AuraMed враховує, зокрема:

а) Стаття 24 GDPR – відповідальність контролера;

б) Стаття 25 GDPR – захист даних під час проектування та за замовчуванням;

в) Стаття 28 GDPR – вибір обробників та договірні зобов'язання;

г) Стаття 30 GDPR – записи про діяльність з обробки;

д) Стаття 32 GDPR – безпека обробки;

е) Статті 33-34 GDPR – повідомлення про порушення безпеки;

ж) Стаття 35 GDPR – оцінка впливу на захист даних;

з) Статті 37-39 GDPR – інспектор із захисту даних, де це застосовно.

• (3)У питаннях кібербезпеки AuraMed також дотримується застосовних вимог, наскільки вони стають релевантними для її операційної моделі, включаючи ті, що випливають з Директиви (ЄС) 2022/2555 (NIS2) та її імплементації в румунське законодавство Урядовою надзвичайною постановою № 155/2024, затвердженою Законом № 124/2025.

• (1)AuraMed застосовує підхід, заснований на ризиках, пропорційний та орієнтований на мінімізацію, щоб рівень безпеки відповідав характеру даних, включаючи медичні дані, обсяг обробки, переслідувані цілі та потенційний вплив на суб'єктів даних.
• (2)Заходи безпеки сукупно спрямовані на забезпечення:

а) конфіденційності даних;

б) цілісності даних та систем;

в) доступності послуг та законного доступу;

г) стійкості інфраструктури;

д) виявлення, реагування та усунення інцидентів;

е) можливості відстеження та аудиту.

• (3)AuraMed також прагне, де це застосовно, застосовувати підхід «всіх загроз» до кібер- та операційних ризиків, включаючи розробку програмного забезпечення, ланцюжок поставок, безперервність бізнесу, вразливості та безпечні комунікації. NIS2 вимагає саме пропорційного, заснованого на ризиках підходу та перелічує серед мінімальних елементів: аналіз ризиків, обробку інцидентів, безперервність бізнесу, безпеку ланцюжка поставок, безпечне придбання/розробку/обслуговування, обробку вразливостей та їх розкриття, навчання та криптографію / де це доречно, шифрування.

• (1)Відповідно до статті 32(1) GDPR, AuraMed впроваджує відповідні технічні та організаційні заходи для забезпечення рівня безпеки, що відповідає ризику.
• (2)Ці заходи можуть включати, де це застосовно:

а) псевдонімізацію та/або шифрування даних;

б) контроль доступу на основі ролей та доступ за принципом «необхідності знати»;

в) розділення середовищ розробки, тестування та виробництва;

г) посилену автентифікацію та, де це доречно, багатофакторну автентифікацію;

д) моніторинг, журналювання та аудит доступу;

е) захист кінцевих точок, оновлення безпеки та управління патчами;

ж) плани резервного копіювання, відновлення та аварійного відновлення;

з) періодичне тестування ефективності заходів;

и) контроль експорту, передачі та видалення даних;

к) процедури безперервності та реагування на інциденти.

• (3)Відповідно до статті 32(1)(a)-(d) GDPR, приклади, прямо передбачені законом, включають псевдонімізацію та шифрування, здатність забезпечувати постійну конфіденційність, цілісність, доступність та стійкість, своєчасне відновлення доступності та доступу до даних, а також процес регулярного тестування, оцінки та перевірки ефективності заходів.
• (4)AuraMed не гарантує абсолютної безпеки, але прагне підтримувати адекватний, оновлений та документований рівень захисту відповідно до статей 24 та 32 GDPR. ANSPDCP у своїй практиці повторює, що відсутність елементарних засобів контролю безпеки та тестування ефективності може призвести до санкцій відповідно до статей 24 та 32 GDPR.

• (1)AuraMed обмежує доступ до даних та систем лише для уповноважених осіб, які мають законну та документально підтверджену потребу в доступі для виконання своїх обов'язків.
• (2)Доступ надається, переглядається та відкликається відповідно до ролей, обов'язків, принципу «найменших привілеїв» та принципу розділення обов'язків, де це застосовно.
• (3)Особи, які діють під керівництвом AuraMed і можуть мати доступ до даних, пов'язані договірною, юридичною або професійною конфіденційністю та можуть обробляти дані лише відповідно до застосовних інструкцій та політик.
• (4)Стаття 32(4) GDPR прямо вимагає, щоб контролер та обробник вживали заходів для забезпечення того, щоб будь-яка особа, яка діє під їхньою владою і має доступ до даних, не обробляла їх, крім як за інструкціями контролера, якщо інше не вимагається законом.

• (1)AuraMed прагне інтегрувати безпеку та захист даних на етапах проектування, вибору, розробки, конфігурації, впровадження та модифікації Платформи відповідно до статті 25(1)-(2) GDPR.
• (2)Наскільки AuraMed використовує ІТ, хмарні, хостингові, комунікаційні, безпекові, ШІ, аналітичні, допоміжні або інші відповідні субпідрядники, їх вибір здійснюється з урахуванням їхніх гарантій щодо безпеки та захисту даних.
• (3)Коли третя сторона виступає як обробник, AuraMed використовує, відповідно до статті 28(1) та (3) GDPR, лише постачальників, які надають достатні гарантії, та укладає необхідну договірну документацію, включаючи щодо конфіденційності, заходів безпеки, субпідрядників, допомоги при інцидентах, видалення/повернення та аудиту.
• (4)Наскільки AuraMed підпадає під дію NIS2/Урядової надзвичайної постанови № 155/2024, управління безпекою також включатиме вимоги щодо безпеки ланцюжка поставок та безпечного придбання, розробки та обслуговування, включаючи обробку вразливостей та їх розкриття.

• (1)Наскільки AuraMed обробляє медичні дані, такі дані розглядаються як дані особливих категорій у розумінні статті 9(1) GDPR і користуються посиленими заходами захисту.
• (2)AuraMed прагне застосовувати, залежно від реального контексту обробки:

а) мінімізацію даних;

б) обмеження доступу;

в) псевдонімізацію, де це доречно;

г) обмежене зберігання;

д) логічне розділення потоків та журналів;

е) посилений контроль для медичних документів та конфіденційних розмов.

• (3)AuraMed адаптує свої заходи безпеки до особливо чутливого характеру медичних даних відповідно до статті 9(1)-(2) GDPR та загального зобов'язання щодо безпеки, передбаченого статтею 32 GDPR. ANSPDCP прямо зазначає, що медичні дані належать до особливих категорій і можуть оброблятися лише за умов статті 9(2) GDPR.

• (1)AuraMed веде, наскільки це застосовно, записи про діяльність з обробки відповідно до статті 30 GDPR та документує відповідні заходи безпеки та відповідності.
• (2)Якщо операція обробки, ймовірно, призведе до високого ризику для прав та свобод фізичних осіб, AuraMed проводить оцінку впливу на захист даних (DPIA) відповідно до статті 35 GDPR перед запуском або розширенням такої обробки.
• (3)Стаття 35 GDPR вказує, серед типових випадків, на великомасштабну обробку особливих категорій даних, а EDPB наголошує, що DPIA є письмовою оцінкою, призначеною для виявлення ризиків та відповідних заходів захисту. ANSPDCP включає DPIA серед ключових зобов'язань контролера.

• (1)AuraMed періодично оцінює, чи застосовується зобов'язання призначити інспектора із захисту даних (DPO), особливо у зв'язку зі статтею 37(1)(b) та (c) GDPR.
• (2)Відповідно до статті 37(1) GDPR, призначення DPO вимагається, серед інших випадків, коли:

а) основна діяльність включає великомасштабний регулярний та систематичний моніторинг; або

б) основна діяльність включає великомасштабну обробку даних особливих категорій, включаючи медичні дані.

• (3)Якщо DPO призначено, AuraMed забезпечує його належну та своєчасну участь у всіх питаннях, пов'язаних із захистом даних, відповідно до статті 38(1) та (3) GDPR, а його завдання також включають консультації щодо DPIA та моніторинг відповідності, згідно зі статтею 39(1)(b)-(c) GDPR.

• (1)AuraMed застосовує періодичні процеси перевірки, тестування, оцінки та вдосконалення технічних та організаційних засобів контролю відповідно до статті 32(1)(d) GDPR.
• (2)Ці процеси можуть включати, де це застосовно:

а) перегляди доступу;

б) перевірки конфігурації;

в) оцінки вразливостей;

г) внутрішні або зовнішні аудити;

д) вправи з реагування на інциденти;

е) перевірки резервного копіювання та відновлення;

ж) навчання та підвищення обізнаності персоналу.

• (3)ANSPDCP прямо згадує серед необхідних заходів наявність процесу регулярного тестування, оцінки та перевірки ефективності заходів безпеки, а NIS2 також вимагає політик/процедур для оцінки ефективності заходів управління ризиками кібербезпеки.

• (1)AuraMed прагне підтримувати безперервність бізнесу та операційну стійкість за допомогою пропорційних заходів резервного копіювання, відновлення, надлишковості, аварійного відновлення та управління кризами відповідно до характеру наданих послуг.
• (2)Стаття 32(1)(c) GDPR вимагає можливості своєчасного відновлення доступності персональних даних та доступу до них у разі фізичного або технічного інциденту.
• (3)Наскільки застосовується NIS2/Урядова надзвичайна постанова № 155/2024, AuraMed також прагне інтегрувати заходи безперервності бізнесу, управління резервним копіюванням, аварійного відновлення та управління кризами, які є частиною мінімального ядра статті 21 NIS2. DNSC також публікує спеціальні рекомендації щодо політик аварійного відновлення в контексті Урядової надзвичайної постанови № 155/2024, затвердженої Законом № 124/2025.

• (1)AuraMed підтримує внутрішні процедури для виявлення, оцінки, ескалації, стримування, розслідування, усунення та документування інцидентів безпеки.
• (2)AuraMed розрізняє:

а) інцидент кібербезпеки / операційний інцидент, який впливає або може вплинути на системи, послуги або безперервність бізнесу; та

б) порушення персональних даних у розумінні статті 4(12) GDPR, яке може включати знищення, втрату, зміну, несанкціоноване розкриття або несанкціонований доступ до даних.

• (3)У разі порушення персональних даних AuraMed застосовує статтю 33 GDPR та повідомляє компетентний наглядовий орган без невиправданої затримки і, де це можливо, не пізніше ніж через 72 години після того, як стало відомо про нього, якщо порушення навряд чи призведе до ризику для прав та свобод фізичних осіб.
• (4)Якщо порушення, ймовірно, призведе до високого ризику для прав та свобод фізичних осіб, AuraMed також повідомляє про інцидент суб'єкту даних відповідно до статті 34(1) GDPR.
• (5)Стаття 33(3) GDPR вимагає, щоб повідомлення включало щонайменше характер порушення, категорії та приблизну кількість суб'єктів даних та записів, що постраждали, контактні дані контактної особи/DPO, ймовірні наслідки та вжиті або запропоновані заходи; стаття 33(5) також вимагає документування всіх порушень. ANSPDCP надає форму повідомлення про порушення безпеки відповідно до GDPR.

• (1)Наскільки AuraMed підпадає під дію NIS2 та румунського законодавства про транспозицію, значні інциденти також будуть керуватися та звітуватися відповідно до застосовних галузевих правил кібербезпеки.
• (2)Згідно з рамками NIS2, суб'єкти, що підпадають під дію, мають багаторівневі зобов'язання щодо звітності: раннє попередження протягом 24 годин після усвідомлення, повідомлення протягом 72 годин та остаточний звіт, як правило, протягом одного місяця.
• (3)Цєю Політикою AuraMed не стверджує автоматично, що вона кваліфікується як важливий або істотний суб'єкт у розумінні NIS2/Урядової надзвичайної постанови № 155/2024; ця кваліфікація аналізується окремо, залежно від фактичної діяльності, сектору, розміру та застосовних юридичних критеріїв.

• (1)Користувачі Платформи зобов'язані використовувати розумно безпечні послуги та пристрої, захищати облікові дані, уникати несанкціонованого обміну обліковими записами або посиланнями для доступу та негайно повідомляти нас, якщо вони підозрюють несанкціоноване використання або вразливість.
• (2)Користувачі не повинні завантажувати шкідливий код, намагатися обійти засоби безпеки, проводити несанкціоноване тестування, скрейпінг, заборонене зворотне інжиніринг, спроби підвищення привілеїв або будь-які інші дії, які можуть вплинути на доступність, цілісність або конфіденційність Платформи.
• (3)AuraMed залишає за собою право призупинити, обмежити або заблокувати доступ у разі діяльності, яка становить ризик для безпеки або порушує закон або застосовну договірну документацію.

• (1)Якщо ви виявили вразливість, аномальну поведінку, незахищену конфігурацію або інцидент безпеки, пов'язаний з Платформою, будь ласка, зв'яжіться з нами за адресою: dev@auramed.ro.
• (2)AuraMed заохочує відповідальне та добросовісне розкриття вразливостей і може аналізувати, перевіряти, пріоритезувати та усувати повідомлені проблеми залежно від серйозності та впливу.
• (3)Наскільки застосовується NIS2, обробка вразливостей та їх розкриття є одними з елементів, прямо зазначених у європейських рамках управління кіберризиками.

• (1)AuraMed може переглядати та оновлювати цю Політику з юридичних, технічних, операційних або комерційних причин.
• (2)Будь-яка оновлена версія буде опублікована на Платформі із зазначенням дати останнього оновлення.
• (3)Відповідні зміни також можуть бути пов'язані зі змінами в технічній архітектурі, постачальниках, потоках даних, зобов'язаннях GDPR, рамках NIS2 або поточних кіберзагрозах.