Politica de securitate a datelor cu caracter personal



I. DISPOZIŢII GENERALE

1.Prezenta Politică de securitate a datelor cu caracter personal prelucrate prin intermediul platformei www.e-sanatate.md (în continuare Politica de securitate), dezvoltată şi administrată de PAS INTEGRATOR SRL (în continuare Administrator) are drept scop stabilirea măsurilor tehnice şi organizatorice necesare pentru asigurarea securităţii, confidenţialităţii şi integrităţii datelor cu caracter personal prelucrate în cadrul sistemelor informaţionale de date cu caracter personal.

2. Politica de securitate a fost elaborată în conformitate cu prevederile Legii privind protecţia datelor cu caracter personal nr. 133 din 08 iulie 2011 şi Cerinţele faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal, aprobate prin Hotărârea Guvernului nr. 1123 din 14 decembrie 2010.

3. Noţiunile utilizate în sensul prezentei Politici de securitate sunt identice cu cele statuate de Legea privind protecţia datelor cu caracter personal şi Cerinţele faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal.

4. Prezenta politică de securitate se aplică operatorului de date cu caracter personal şi/sau persoanei împuternicite de operator, în scopurile mentenanţei platformei on-line www.e-sanatate.md, domeniul de aplicare nefiind opozabil utilizatorilor autorizaţi (subiecţilor de date cu caracter personal/pacienţi/cadre medicale) ai serviciilor prestate nemijlocit acestora prin intermediul resurselor informaţionale.

5. Platforma on-line www.e-sanatate.md reprezintă rețeaua de web site-uri aparținând și/sau gestionate legal de PAS INTEGRATOR SRL.

II. CERINŢE GENERALE

6. Măsurile de protecţie a datelor cu caracter personal reprezintă o parte componentă a lucrărilor de creare, dezvoltare şi exploatare a platformei www.e-sanatate.md, şi sunt efectuate neîntrerupt de către Administrator în calitate de operator de date cu caracter personal şi de Î.S. „Centrul de Telecomunicaţii Speciale” în bază de contract.

7. Protecţia datelor cu caracter personal este asigurată printr-un complex de măsuri tehnice şi organizatorice de preîntâmpinare a prelucrării ilicite a datelor cu caracter personal.

8. Măsurile de protecţie a datelor cu caracter personal prelucrate în cadrul platformei www.e-sanatate.md se înfăptuiesc cu asigurarea regimului confidenţial al acestor măsuri. Prelucrarea datelor cu caracter personal de către Î. S. „Centrul de Telecomunicaţii Speciale” se realizează în baza contractului care conţine în mod obligatoriu clauza de confidenţialitate.

9. Nu sunt realizate măsuri şi/sau lucrări cu folosirea resurselor informaţionale în condițiile când nu sunt adoptate şi implementate măsuri corespunzătoare de protecţie a datelor cu caracter personal.

10. Sunt supuse protecţiei toate resursele informaţionale ce fac parte din platforma www.e-sanatate.md, inclusiv:
a) suporturile magnetice, optice, laser sau alte suporturi ale informaţiei electronice, masive informaţionale şi baze de date;
b) sistemele informaţionale, reţelele, sistemele operaţionale, sistemele de gestionare a bazelor de date şi alte aplicaţii, sistemele de telecomunicaţii, inclusiv mijloacele de confecţionare şi multiplicare a documentelor şi alte mijloace tehnice de prelucrare a informaţiei.

11. Politica de securitate are scopul:
a) preîntâmpinării scurgerii informaţiei care conţine date cu caracter personal prin metoda excluderii accesului neautorizat la aceasta;
b) preîntâmpinării distrugerii, modificării, copierii, blocării neautorizate a datelor cu caracter personal prelucrate prin intermediul platformei www.e-sanatate.md;
c) respectării principiilor statuate de Legea privind protecţia datelor cu caracter personal, Legii nr. 263 din 27 octombrie 2005 cu privire la drepturile şi responsabilităţile pacientuluişi Cerinţelor faţă de asigurarea securităţii datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaţionale de date cu caracter personal, altor acte legislative şi normative ce reglementează domeniul.    
d) asigurării caracterului complet, integru, veridic al datelor cu caracter personal prelucrate prin intermediul resurselor informaţionale integrate în platforma www.e-sanatate.md;
e) păstrării posibilităţilor de gestionare a procesului de prelucrare şi păstrare a datelor cu caracter personal.

12. Protecţia datelor cu caracter personal prelucrate prin intermediul resurselor informaţionale integrate în platforma www.e-sanatate.md se efectuează prin următoarele metode:
a) preîntâmpinarea conexiunilor neautorizate la reţelele telecomunicaţionale şi interceptării cu ajutorul mijloacelor tehnice a datelor cu caracter personal transmise prin aceste reţele;
b) excluderea accesului neautorizat la datele cu caracter personal prelucrate;
c) preîntâmpinarea acţiunilor speciale tehnice şi de program, care condiţionează distrugerea, modificarea datelor cu caracter personal sau defecţiuni în lucrul complexului tehnic şi de program;
d) preîntâmpinarea acţiunilor intenţionate şi/sau neintenţionate a utilizatorilor interni şi/sau externi, precum şi a altor angajaţi ai operatorului de date cu caracter personal şi/sau a persoanei împuternicite de acesta, care condiţionează distrugerea, modificarea datelor cu caracter personal sau defecţiuni în lucrul complexului tehnic şi de program.

13. Preîntâmpinarea scurgerii de informaţii care conţin date cu caracter personal, transmise prin canalele de legătură, este asigurată prin cifrarea acestei informaţii, inclusiv cu utilizarea măsurilor organizaţionale, tehnice şi de regim.

14. Preîntâmpinarea accesului neautorizat la informaţiile care conţin date cu caracter personal şi circulă sau se păstrează în mijloace tehnice este asigurată prin metoda folosirii mijloacelor speciale tehnice şi de program, cifrării acestor informaţii, inclusiv prin măsurile organizaţionale şi de regim.

15. Preîntâmpinarea distrugerii, modificării datelor cu caracter personal sau defecţiunilor în funcţionarea soft-ului destinat prelucrării datelor cu caracter personal este asigurată prin metoda folosirii mijloacelor de protecţie speciale tehnice şi de program, inclusiv a programelor licenţiate, programelor antivirus, organizării sistemului de control al securităţii soft-ului şi efectuarea periodică a copiilor de siguranţă.

16. Ordinea de acces la informaţia care conţine date cu caracter personal, prelucrată în cadrul sistemelor informaţionale integrate în cadrul platformei www.e-sanatate.md, este stabilită în conformitate cu prevederile legislaţiei privind protecţia datelor cu caracter personal aplicând principiul minimizării drepturilor de acces (restricţionarea drepturilor de acces reieşind din necesitatea strictă de a prelucra date cu caracter personal).

17. Prin intermediul resurselor informaţionale integrate în platforma www.e-sanatate.md sunt prelucrate următoarele categorii de date cu caracter personal: 
• numele, prenumele și patronimicul;
• sexul;
• IDNP;
• data naşterii;
• imaginea;
• datele de geolocalizare/datele de trafic;
• datele personale ale membrilor de familie;
• datele asigurării medicale;
• numărul de telefon/fax;
• numărul de telefon mobil;
• adresa (domiciliului/reşedinţei);
• adresa e-mail;
• profesiunea și locul de muncă;
• formarea profesională, diplome, studii;
• datele genetice;
• datele biometrice şi antropometrice;
• caracteristicile fizice;
• datele privind starea de sănătate – semne și simptome, parametri fizici și vitali, diagnostic, tratament, rezultatele examinărilor clinice și paraclinice, imunizări.

18. Prezentul document se revizuieşteo dată în an ca rezultat al modificărilor sau reevaluării componentelor şi se aprobă de directorul PAS INTEGRATOR S.R.L. 

19. Politica de securitate a datelor cu caracter personal este adusă la cunoştinţă utilizatorilor autorizaţi ai platformei www.e-sanatate.md prin plasarea pe pagina web şi angajaţilor companiei, în limitele competenţelor funcţionale şi nivelului de acces acordat.

20. Modificările operate în Politică de securitate în cazul în care pot genera careva consecinţe pentru drepturile utilizatorilor platformei www.e-sanatate.md sunt aduse la cunoştinţă acestora prin intermediul adresei de e-mail, oferindu-le posibilitatea de a decide utilizarea în continuare a serviciilor prestate prin intermediul platformei sau ştergerea profilului şi a datelor cu caracter personal.  

21. Persoana responsabilă de implementarea şi monitorizarea respectării prevederilor politicii de securitate a datelor cu caracter personal, este dl. Vasile Bounegru, administrator IT al platformei www.e-sanatate.md, tel. de contact 022212006, 079969806, adresa de e-mail: admin@e-sanatate.md. 

SECURITATEA MEDIULUI FIZIC ŞI A TEHNOLOGIILOR INFORMAŢIONALE FOLOSITE ÎN PROCESUL PRELUCRĂRII DATELOR CU CARACTER PERSONAL

Autorizarea accesului fizic
22. Accesul în spaţiile unde sunt amplasate sistemele informaţionale de date cu caracter personal este restricţionat, fiind permis doar persoanelor care au autorizaţia necesară şi doar în timpul orelor de program, în baza cartelelor de identificare, cartelelor cu microprocesoare conform listei aprobate deÎ.S. „Centrul de Telecomunicaţii Speciale” și/sau PAS INTEGRATOR S.R.L., care se revizuieşte nu mai rar decât o dată în lună.

Administrarea şi monitorizarea accesului fizic
23. Î.S. „Centrul de Telecomunicaţii Speciale” și PAS INTEGRATOR S.R.L administrează şi monitorizează accesul fizic în toate punctele de acces la sistemele informaţionale de date cu caracter personal, inclusiv reacţionează la încălcarea regimului de acces. Anterior acordării accesului fizic la sistemele informaţionale de date cu caracter personal se verifică competenţele de acces. 

24. Registrele de monitorizare se păstrează minimum un an, la expirarea căruia acestea se lichidează, iar datele şi documentele ce se conţin în registrul supus lichidării se transmit în arhivă.

25. Încăperile unde sunt instalate sistemele informaţionale de date cu caracter personal sunt echipate cu sisteme de control al accesului şi supraveghere video în scopul urmăririi accesului persoanelor în aceste spaţii.

26. În procesul monitorizării se utilizează mijloace de supraveghere video şi alarmă în regim real de timp a tuturor cazurilor de acces autorizat sau neautorizat.

27. Sunt utilizate mijloace automatizate care asigură identificarea cazurilor de acces neautorizat şi iniţierea acţiunilor de blocare a accesului.

Securitatea spațiilor şi mijloacelor de prelucrare a datelor cu caracter personal
28. Perimetrul de securitate este delimitat prin amplasarea uşilor la care este instalat sistemul de control/acces al intrărilor/ieşirilor în încăperea unde sunt prelucrate datele cu caracter personal. 

29. Pereţii exteriori ai încăperiireprezintă în sine o construcţie rezistentă din beton armatintrările fiind echipate cu semnalizare.

30. Încăperile unde sunt amplasate computerele, serverele, alte terminale de acces la datele cu caracter personal prelucrate prin intermediul platformei www.e-sanatate.md sunt amplasate doar în perimetrul de securitate.

31. În cazul lipsei persoanelor autorizate cu dreptul de acces în perimetrul de securitate se asigură încuierea uşilor şi ferestrelor.

32. Amplasarea mijloacelor de prelucrare a datelor cu caracter personal răspunde cerințelor asigurării securităţii acestora împotriva accesului nesancţionat, furturilor, incendiilor, inundaţiilor şi altor posibile riscuri.

33. Folosirea tehnicii foto, video, audio sau altor mijloace de înregistrare în perimetrul de securitate este admisă doar în cazul prezenţei unei permisiuni speciale.

34. Scoaterea purtătorilor de informaţii şi mijloacelor de prelucrare a datelor cu caracter personal din încăperile aflate în perimetrul de securitate se efectuează exclusiv cu autorizaţia scrisă a Administratorului. 

35. Perimetrul de securitate este asigurat cu sisteme de constatare a intruziunilor pentru uşile exterioare şi ferestrele amplasate în locuri accesibile.

36. Utilajul de rezervă şi purtătorii de informaţii care conţin date cu caracter personal se păstrează în locuri care asigură evitarea distrugerilor sau deteriorărilor ca rezultat al calamităţilor în încăperea de bază.

Controlul vizitatorilor
37. În încăperile unde sunt amplasate sistemele informaţionale de date cu caracter personal este efectuat controlul accesului fizic al vizitatorilor. 

38. Accesul vizitatorilor se înregistrează în registre, care se păstrează minimum un an. La expirarea termenului de un an, registrele sunt lichidate, iar datele şi documentele ce se conţin în registrul supus lichidării se transmit în arhivă.

39. Vizitatorii sistemelor informaţionale de date cu caracter personal sunt însoţiţi de persoane împuternicite în asemenea scop, cu exercitarea în paralel a controlului asupra acţiunilor acestora.

Securitatea electroenergetică
40. Echipamentului electric utilizat pentru menţinerea funcţionalităţii platformei www.e-sanatate.md, cablurilor electrice, i se asigură securitatea, inclusiv prin protecţia acestora contra deteriorărilor şi conectărilor nesancţionate.

41. În cazul apariţiei situaţiilor excepţionale, de avarie sau de forţă majoră, este asigurată posibilitatea deconectării electricităţii, inclusiv posibilitatea deconectării oricărui component TI.

42. În cazul apariţiei situaţiilor enumerate mai sus, alimentarea cu energie electrică este asigurată prin surse autonome, care sunt folosite în cazul deconectării pentru perioade îndelungate şi necesităţii continuării îndeplinirii de către sistemele informaţionale de date cu caracter personal a sarcinilor funcţionale stabilite. 

Securitatea cablurilor de reţea
43. Cablurile de reţea, prin care se efectuează operaţiuni de prelucrare a datelor cu caracter personal, sunt protejate contra conectărilor nesancţionate sau deteriorărilor.Cablurile de tensiune sunt separate de cele comunicaţionale pentru a exclude bruiajul.

44. În scopul verificării cazurilor de conectare neautorizată la cablurile de reţea Î.S. „Centrul de Telecomunicaţii Speciale”, efectuează controale, nu mai rar decât o dată în lună.

Asigurarea securităţii antiincendiare 
45. Încăperile unde sunt amplasate sistemele informaţionale de date cu caracter personal destinate funcţionării platformei www.e-sanatate.md sunt dotate cu sisteme automatizate de depistare/semnalizare şi stingere a incendiilor.

Controlul instalării şi scoaterii componentelor TI
46. Instalarea şi scoaterea mijloacelor de program, mijloacelor tehnice şi celor tehnice de program, utilizate în cadrul sistemelor informaţionale de date cu caracter personal destinate funcţionării platformei www.e-sanatate.md, este suspusă unui control din partea Administratorului și Î.S. „Centrul de Telecomunicaţii Speciale”. Evidenţa instalării şi scoaterii acestor mijloace este ţinută prin intermediul unui registru special instituit în acest scop conform unui regulament aprobat. 

47. Informaţiile, care conţin date cu caracter personal şi care se conţin pe purtătorii de informaţii, se distrug fizic sau se transcriu şi se nimicesc prin metode sigure, care să garanteze ştergerea acestora fără posibilitatea de restabilire, evitându-se folosirea funcţiilor standarde de nimicire.

Măsurile de administrare a securităţii informaţionale
48. În cazul neutilizării temporare a purtătorilor de informaţie electronici care conţin date cu caracter personal, aceştia se păstrează în safeuri sau dulapuri metalice care se încuie.

49. Computerele, terminalele de acces şi imprimantele,în mod categoric, se deconectează la terminarea sesiunilor de lucru.

50. Accesul fizic la mijloacele de reprezentare a informaţiei care conţin date cu caracter personal prelucrate prin intermediul platformei www.e-sanatate.md se administrează în modalitatea care nu permite terţilor vizualizarea de către persoane neautorizate a acestora. Accesul fizic se administrează în modalitatea care asigură excluderea vizualizării inclusiv accidentale.

51. Mijloacele de prelucrare a datelor cu caracter personal, informaţia care conţine date cu caracter personal sau soft-urile destinate prelucrării datelor cu caracter personal sunt scoase din perimetrul de securitate doar în temeiul unei permisiuni scrise a Administratorului sau a Î.S. „Centrul de Telecomunicaţii Speciale”. 

52. Scoaterea şi introducerea mijloacelor de prelucrare a datelor cu caracter personal din/în perimetrul de securitate se înregistrează într-un registru separat special instituit în acest scop.

IDENTIFICAREA ŞI AUTENTIFICAREA UTILIZATORULUI SISTEMULUI INFORMAŢIONAL DE DATE CU CARACTER PERSONAL

Identificarea şi autentificarea utilizatorului
53. Sistemul informaţional automatizat ce asigură funcţionarea platformei www.e-sanatate.md efectuează identificarea şi autentificarea utilizatorilor şi a proceselor executate în numele acestor utilizatori.

54. Toţi utilizatorii (inclusiv personalul care asigură funcţionarea tehnică, administratorii de reţea, programatorii şi administratorii bazelor de date) deţin un identificator personal (ID-ul utilizatorului), care nu conţine semnalmentele nivelului de accesibilitate al utilizatorului.

55. Pentru confirmarea ID-ului utilizatorului externsunt utilizate parole, iar pentru utilizatorii interni (personalul care asigură funcţionarea tehnică, administratorii de reţea, programatorii şi administratorii bazelor de date) mijloace fizice speciale de acces cu memorie sau cartele cu microprocesoare.

56. În cazul în care contractul de muncă/raporturile de serviciu ale utilizatorului intern au fost încetate, suspendate sau modificate şi noile sarcini nu necesită accesul la date cu caracter personal ori drepturile de acces ale utilizatorului au fost modificate, ori utilizatorul a abuzat de drepturile acordate în scopul comiterii unei fapte prejudiciabile, a absentat o perioadă îndelungată, drepturile se revocă sau se suspendă de către PAS INTEGRATOR S.R.L. sau după caz de Î.S. „Centrul de Telecomunicaţii Speciale”. Perioada maximală în care aceste drepturi pot fi suspendate este de 3 luni.

Identificarea şi autentificarea echipamentului
57. În mod permanenteste asigurată posibilitatea identificării şi autentificării echipamentului folosit în operaţiunile de prelucrare a datelor cu caracter personal prelucrate prin intermediul platformei www.e-sanatate.md.

Administrarea identificatorilor utilizatorilor
58. Administrarea identificatorilor utilizatorilor include:
a) identificarea univocă a fiecărui utilizator;
b) verificarea autenticităţii fiecărui utilizator;
c) obţinerea autorizaţiei pentru eliberarea ID-ului utilizatorului;
d) garantarea faptului că ID-ul utilizatorului este eliberat unei persoane determinate concret şi nu se repetă în sistem;
e) executarea copiilor de arhivă a ID-urilor utilizatorilor.

Administrarea mijloacelor de autentificare
59. Administratoruldetermină procedurile administrative, prin ordin intern opozabil tuturor angajaţilor care reglementează procesul distribuirii şi ridicării mijloacelor de autentificare a utilizatorilor interni, inclusiv acţiunile în cazul pierderii/compromiterii sau defecţiunii acestora. 
60. După instalarea sistemelor ce asigură funcţionarea platformeiwww.e-sanatate.md, se schimbă informaţiile de autentificare a utilizatorilor utilizate standard.

Asigurarea conexiunii bilaterale în cazul introducerii informaţiei de autentificare a utilizatorilor
61. Administratorul implementează procedurile tehnice ce asigură conexiunea bilaterală a deţinătorului de date cu caracter personal cu utilizatorul în momentul trecerii de către acesta a procedurilor de autentificare, care nu compromite mecanismul de autentificare.

Utilizarea parolelor în procesul asigurării securităţii informaţionale
62. În procesul alegerii şi folosirii parolelor Administratorul implementează următoarele reguli de asigurare a securităţii informaţionale: 
A. Pentru utilizatorii interni: 
• interzicerea înscrierii parolelor pe suport de hârtie, în cazul în care nu se asigură securitatea păstrării acestuia;
• modificarea parolelor de fiecare dată când sunt prezente indiciile eventualei compromiteri a sistemului sau parolei;
B. Pentru toţi utilizatorii:
• păstrarea confidenţialităţii parolelor;
• alegerea parolelor calitative cu o mărime de minimum 8 simboluri, care nu sunt legate de informaţia cu caracter personal a utilizatorului, nu conţin simboluri identice consecutive şi nu sunt compuse integral din grupuri de cifre sau litere;
• opțiunea de modificare a parolelor, intervalul de timp recomandat fiind la fiecare 3 luni;
• asigurarea imposibilităţii procesului automatizat de înregistrare, inclusiv cu folosirea parolelor salvate.

Administrarea parolelor utilizatorilor
63. Administratorul asigură:
• utilizarea identificatoarelor individuale pentru fiecare utilizator şi parole individuale ale acestora pentru asigurarea posibilităţii de stabilire a responsabilităţii.
• posibilitatea utilizatorilor de a alege şi schimba parolele individuale, inclusiv de activare a procedurii de evidenţă a introducerilor greşite ale acestora.
• Blocarea accesului după trei tentative greşite de autentificare.
• Prevenirea folosirii repetate a acestora.
• La momentul introducerii, parolele nu se reflectă în clar pe monitor.
• Păstrarea parolelor în formă cifrată, utilizându-se algoritmul criptografic unilateral (funcţia hash).

ADMINISTRAREA ACCESULUI UTILIZATORILOR

Administrarea accesului
64. Administratorul implementează mecanisme de înregistrare şi evidenţă a persoanelor care au acces sau participă la operaţiunile de prelucrare a datelor cu caracter personal şi care, în caz de necesitate, permit identificarea cazurilor neautorizate de acces sau de prelucrare ilegală a datelor cu caracter personal.

Administrarea conturilor de acces
65. Administratorulefectuează administrarea conturilor de acces a utilizatorilor care prelucrează date cu caracter personal, inclusiv crearea, activarea, modificarea, revizuirea, dezactivarea şi ştergerea acestora.

66. Sunt aplicatemijloace automatizate de suport în scopul administrării conturilor de acces.

67. Acţiunea conturilor de acces a utilizatorilor interni temporari, care prelucrează date cu caracter personal, încetează automat la expirarea unei perioade stabilite în timp, pentru fiecare tip de cont de acces în parte.

68. Conturile de acces ale utilizatorilor neactivi, care prelucrează date cu caracter personal sunt dezactivate automat, după o perioadă de maximum șase luni.

69. Sunt aplicatemijloace automatizate de înregistrare şi informare despre crearea, modificarea, dezactivarea şi încetarea acţiunii conturilor de acces.

Acordarea accesului
70. Accesul la sistemele informaţionale de date cu caracter personal este autorizat doar utilizatorilor interni care în virtutea funcţiilor pe care le îndeplinesc, conform fişei postului sau contractului individual de muncă sau contractului de prestări servicii care obligatoriu includ în sine clauza de confidenţialitate, le este strict necesar efectuarea operaţiunilor de prelucrare a datelor cu caracter personal;

71. Accesul la funcţiile de securitate ale sistemelor informaţionale de date cu caracter personal şi la datele acestora este acordat doar persoanelor responsabile indicate expres în ordinul aprobat de Administrator.

72. Autorizarea accesului utilizatorului extern (subiectul de date cu caracter personal/pacient/cadru medical) are loc doar în cazul în care acesta și-a exprimat consimțământul la prelucrarea datelor cu caracter personal ce îl vizează prin intermediul platformei www.e-sanatate.md în conformitate cu Termenii și condițiile de utilizare a site-ului respectiv.

Revizuirea drepturilor de acces ale utilizatorilor
73. Pentru utilizatorii interni drepturile de acces la sistemele informaţionale de date cu caracter personal, ce fac parte integrantă din platforma www.e-sanatate.md, sunt revizuite cu regularitate, maximum peste fiecare şase luni, pentru asigurarea faptului că nu au fost acordate drepturi de acces neautorizat, precum și după oricare schimbare de statut al utilizatorului.

74. Pentru utilizatorii externi drepturile de acces la sistemele informaţionale de date cu caracter personal ce fac parte integrantă a platformei www.e-sanatate.md sunt revizuite odată în 30 zile pentru asigurarea faptului că nu au fost acordate drepturi de acces neautorizate sau admise conexiuni accidentale, ca bază fiind consimțământulliber, necondiţionat şi neviciat al acestora la acordarea accesului.

Administrarea fluxurilor informaţionale
73. Realizarea fluxurilor informaţionale, în procesul transmiterii acestora în interiorul şi în afara sistemelor informaţionale de date cu caracter personal, ce fac parte integrantă din portalul www.e-sanatate.md, se autorizează de cătreAdministrator.

Repartizarea obligaţiilor şi învestirea cu minimul de drepturi şi competenţe
74. Administratorul asigură că obligaţiileutilizatorilor interni care asigură funcţionarea sistemelor informaţionale de date cu caracter personal, ce fac parte integrantă a platformei www.e-sanatate.md, este efectuată prin intermediul investirii cu drepturi/competenţe corespunzătoare de acces, printr-un act administrativ al conducerii.

75. Utilizatorii interni ai sistemelor informaţionale de date cu caracter personal,ce fac parte integrantă a platformei www.e-sanatate.md, se investesc doar cu acele drepturi/competenţe, care sunt necesare pentru realizarea de către ei a obiectivelor stabilite acestora.

76. Utilizatorii externi ai sistemelor informaţionale de date cu caracter personal, ce fac parte integrantă a platformei www.e-sanatate.md, în relaţiile cu utilizatorii interni sau cu alți utilizatori externi, se învestesc reciproc doar cu acele drepturi/competenţecare sunt statuate de ei înşişi.

Informaţii de avertizare
77. Înainte de acordarea accesului în sistem, utilizatorii sunt informaţi despre faptul că folosirea sistemelor informaţionale de date cu caracter personal este controlată şi că folosirea neautorizată a acestora se urmăreşte în conformitate cu legislaţia.

Blocarea sesiunii de lucru
78. Sesiunea de lucru în sistemele informaţionale ce fac parte integrantă din portalul www.e-sanatate.md se blochează automat, după maximum 15 minute de perioadă inactivă a utilizatorului, fapt care face imposibil accesul de mai departe până în momentul când utilizatorul nu deblochează sesiunea de lucru prin metoda trecerii repetate a procedurilor de identificare şi autentificare.

Controlul administrării accesului
79. Administratorul efectuează controlul acţiunilor utilizatorului în vederea evaluării corectitudinii şi conformării operaţiunilor şi acţiunilor efectuate prin intermediul sistemelor informaţionale ce fac parte integrantă a portalului www.e-sanatate.md.

Marcarea documentelor 
80. Informaţia ieşită din sistem, care conţine date cu caracter personal, se marchează, indicându-se prescripţii pentru prelucrarea ulterioară şi răspândirea acesteia, inclusiv indicându-se numărul de înregistrare al PAS INTEGRATOR S.R.L. din Registrul operatorilor de date cu caracter personal.

Accesul de la distanţă
81. Toate metodele de acces de la distanţă la sistemele informaţionale ce fac parte integrantă a platformei www.e-sanatate.md sunt securizateutilizându-se HTTPS, inclusiv criptarea şi cifrarea, precum şi sunt documentate, supuse monitorizării şi controlului.

82. Fiecare metodă de acces de la distanţă la sistemele informaţionale de date cu caracter personal se autorizează de persoanele responsabile ale Administratorului.

Limitarea folosirii tehnologiilor fără fir
83. Accesul fără fir la sistemele informaţionale ce fac parte integrantă a platformei www.e-sanatate.md este documentat, supus monitorizării şi controlului.

84. Accesul fără fir este asigurat prin utilizarea mijloacelor criptografice de protecţie a informaţiei, fiind supus procedurilor de autorizare în conformitate cu prezenta politică de securitate.

Administrarea accesului echipamentului portativ şi mobil
85. Echipamentul portativ şi mobil, care permite accesul la sistemele informaţionale de date cu caracter personal, se utilizează doar în conformitate cu regulile stabilite de Administrator.

86. Accesul la sistemele informaţionale de date cu caracter personal cu folosirea echipamentului portativ şi mobil este documentat, monitorizat şi controlat.

87. Folosirea echipamentului portativ şi mobil este autorizată de persoanele responsabile ale Administratorului.

PROTECŢIA SISTEMELOR INFORMAŢIONALE ŞI COMUNICAŢIILOR
 
Divizarea programelor aplicative
88. Sistemele informaţionale ce fac parte integrantă a platformei www.e-sanatate.md asigură separarea posibilităţilor funcţionale ale utilizatorului de posibilităţile funcţionale de gestionare a sistemelor informaţionale.

Izolarea funcţiilor de securitate
89. Sistemele informaţionale ce fac parte integrantă a platformei www.e-sanatate.md asigură izolarea funcţiilor de securitate de funcţiile care nu se atribuie la securitatea sistemelor informaţionale.

Informaţia restantă
90. Sistemele informaţionale ce fac parte integrantă a platformei www.e-sanatate.md asigură preîntâmpinarea tentativelor de dezvăluiri neautorizate sau neintenţionate a informaţiei restante care conţine date cu caracter personal prin intermediul resurselor informaţionale general accesibile.

Protecţia contra refuzului în serviciu
91. Administratorulasigură protecţia sistemelor informaţionale ce fac parte integrantă a platformei www.e-sanatate.md de posibilităţile de realizare a atacurilor de diferite tipuri, inclusiv DOS (denial of service) - „refuz în serviciu”.

Protecţia perimetrului sistemelor informaţionale 
92. Î.S. „Centrul de Telecomunicaţii Speciale” efectuează monitorizarea permanentă şi controlul comunicaţiilor la perimetrul exterior al sistemelor informaţionale ce fac parte integrantă a platformei www.e-sanatate.md, inclusiv la cele mai importante puncte de contact în interiorul perimetrului acestor sisteme informaţionale.

93. Amplasarea resurselor general accesibile se asigură în spaţiile special destinate a reţelei de calcul cu interfeţele fizice de reţea.

94. Este asigurată imposibilitatea accesului din exterior a utilizatorilor neautorizaţi în modul stabilit la reţeaua internă. 

Asigurarea integrităţii datelor cu caracter personal transmise
95. PAS INTEGRATOR S.R.L. şi Î.S. „Centrul de Telecomunicaţii Speciale” asigură integritatea datelor cu caracter personal transmise, utilizându-se mijloacele de protecţie criptografică.

Asigurarea confidenţialităţii datelor cu caracter personal transmise
96. În cadrul sistemelor informaţionale ce fac parte integrantă a platformei www.e-sanatate.md confidenţialitatea datelor cu caracter personal transmise este asigurată prin  utilizarea mijloacelor de protecţie criptografică a informaţiei.

AUDITUL SECURITĂŢII ÎN SISTEMELE INFORMAŢIONALE DE DATE CU CARACTER PERSONAL

Generarea înregistrărilor de audit în sistemele informaţionale 
97. În cadrul sistemelor informaţionale ce fac parte integrantă a platformeiwww.e-sanatate.mdsuntgenerate înregistrări de audit a securităţii.

Lista evenimentelor înregistrate de sistemul de audit a securităţii în sistemele informaţionale 
98. Înregistrarea tentativelor de intrare/ieşire a utilizatorului în sistemele informaţionale, ce fac parte integrantă a platformei www.e-sanatate.md, se efectuează, conform următorilor parametri:
• data şi timpul tentativei intrării/ieşirii;
• ID-ul utilizatorului;
• IP-ul utilizatorului;
• rezultatul tentativei de intrare/ieşire – pozitivă sau negativă.


99. Înregistrarea tentativelor de pornire/terminare a sesiunii de lucru a programelor aplicative şi proceselor, destinate prelucrării datelor cu caracter personal, înregistrarea modificărilor drepturilor de acces ale utilizatorilor şi statutul obiectelor de acces este efectuată conform următorilor parametri:
• data şi timpul tentativei intrării/ieşirii;
• ID-ul utilizatorului;
• IP-ul utilizatorului;
• rezultatul tentativei de pornire – pozitivă sau negativă.


100. Înregistrarea tentativelor de obţinere a accesului (de executare a operaţiunilor) pentru aplicaţii şi procese destinate prelucrării datelor cu caracter personal, se efectuează conform următorilor parametri:
• data şi timpul tentativei de obţinere a accesului (executare a operaţiunii)
• denumirea (identificatorul) aplicaţiei sau procesului;
• ID-ul utilizatorului;
• IP-ul utilizatorului;
• specificaţiile resursei protejate (identificator, nume logic, nume fişier, număr etc.);
• tipul operaţiunii solicitate (citire, înregistrare, ştergere etc.);
• rezultatul tentativei de obţinere a accesului (executare a operaţiunii) – pozitivă sau negativă.


101. Înregistrarea modificărilor drepturilor de acces (competenţelor) utilizatorului şi statutului obiectelor de acces, este efectuată conform următorilor parametri:
• data şi timpul modificării competenţelor;
• ID-ul administratorului care a efectuat modificările;
• ID-ul utilizatorului şi competenţele acestuia sau specificarea obiectelor de acces şi statutul nou al acestora.


102. Înregistrarea ieşirii din sistem a informaţiei care conţine date cu caracter personal (documente electronice, date etc.), înregistrarea modificărilor drepturilor de acces ale subiecţilor şi statutul obiectelor de acces, se efectuează conform următorilor parametri:
• data şi timpul eliberării;
• denumirea informaţiei;
• specificarea echipamentului (dispozitivului) care a eliberat informaţia (numele logic);
• ID-ul utilizatorului, care a solicitat informaţia;
• Data şi timpul tentativei solicitării;
• IP-ul utilizatorului, care a solicitat informaţia;
• volumul documentului eliberat (numărul paginilor, a filelor, copiilor);
• rezultatul eliberării – pozitiv sau negativ.

Prelucrarea rezultatelor auditului securităţii în sistemele informaţionale 
103. În caz de deranjament al auditului securităţii în sistemele informaţionale ce fac parte integrantă a platformei www.e-sanatate.mdsau completării întregului volum de memorie repartizat pentru păstrarea rezultatelor auditului este informată persoana responsabilă de politica de securitate a datelor cu caracter personal desemnată de Administratorşi sunt întreprinse toate măsurile tehnice pentrurestabilirea capacităţii de lucru a sistemului de audit. 

Monitorizarea, analiza şi generarea rapoartelor de audit a securităţii în sistemele informaţionale 
104. În cadrul sistemelor informaţionale ce fac parte integrantă a platformei www.e-sanatate.md are loc monitorizarea permanentă şi analiza înregistrărilor de audit a securităţii, în scopul depistării activităţilor neobişnuite sau suspecte de utilizare a acestor sisteme informaţionale, cu întocmirea raportului referitor la cazurile depistării acestor activităţi, stocate în mijloacele electronice de calcul şi întreprinderea acţiunilor pentru analiza riscurilor şi după caz blocarea activităţilor potenţial periculoase. 

Protejarea datelor de audit a securităţii în sistemele informaţionale 
105. Rezultatele auditului securităţii în sistemele informaţionale ce fac parte integrantă a platformei www.e-sanatate.md, care reprezintă operaţiuni de prelucrare a datelor cu caracter personal şi mijloacele de efectuare a auditului, se protejează contra accesului neautorizat prin instituirea măsurilor de securitate adecvate, inclusiv prin asigurarea confidenţialităţii şi integrităţii acestora conform prevederilor prezentei politic de securitate.


Păstrarea datelor de audit a securităţii în sistemele informaţionale 
106. Durata stocării rezultatelor auditului securităţii în sistemele informaţionale ce fac parte integrantă a platformei www.e-sanatate.md este de 2 ani, pentru a fi posibil folosirea acestora în calitate de probe în cazul incidentelor de securitate, unor eventuale investigaţii sau procese judiciare. În cazul în care investigările sau procesele judiciare se prelungesc, rezultatele auditului se păstrează pe toată durata acestora.

ASIGURAREA INTEGRITĂŢII INFORMAŢIEI CARE CONŢINE DATE CU CARACTER PERSONAL ŞI A TEHNOLOGIILOR INFORMAŢIONALE

Înlăturarea deficienţelor de soft destinat prelucrării datelor cu caracter personal
107. În cadrul sistemelor informaţionale ce fac parte integrantă a platformei www.e-sanatate.md este efectuată identificarea, protocolarea şi înlăturarea deficienţelor de soft-uri destinate prelucrării datelor cu caracter personal, inclusiv instalarea corectărilor şi pachetelor de reînnoire a acestor soft-uri.

Asigurarea protecţiei contra programelor dăunătoare
108. În cadrul sistemelor informaţionale ce fac parte integrantă a platformei www.e-sanatate.md este efectuată protecţia contra infiltrării programelor dăunătoare în soft-urile destinate prelucrării datelor cu caracter personal, cu posibilitatea reînnoirii automate şi la timp a mijloacelor de asigurare a protecţiei contra programelor dăunătoare şi signaturilor de virus.

109. Administrarea mecanismelor de protecţie contra programelordăunătoare este centralizată.

Tehnologiile şi mijloacele de constatare a intruziunilor
110. În cadrul sistemelor informaţionale ce fac parte integrantă a platformei www.e-sanatate.md se efectuează monitorizarea evenimentelor şi constatarea atacurilor, inclusiv care asigură identificarea tentativelor folosirii neautorizate a sistemelor informaţionale.

Asigurarea integrităţii soft-urilor şi informaţiei
111. În cadrul sistemelor informaţionale ce fac parte integrantă a platformei www.e-sanatate.md este asigurată protecţia şi posibilitatea depistării modificării neautorizate a soft-urilor şi informaţiei care conţine date cu caracter personal.

112. Soft-urile destinate prelucrării datelor cu caracter personal şi informaţia care conţine date cu caracter personal, accesul la care se efectuează prin intermediul sistemelor de acces public, sunt securizate prin metoda folosirii protocolului HTTPS, inclusiv prin criptare şi cifrare.

Testarea posibilităţilor funcţionale de asigurare a securităţii sistemelor informaţionale 
113. În cadrul sistemelor informaţionale ce fac parte integrantă a platformei www.e-sanatate.md este efectuată testarea automată, la pornirea sistemului, a funcţionării corecte a funcţiilor.


COPIILE DE REZERVĂ ŞI RESTABILIREA INFORMAŢIEI CARE CONŢINE DATE CU CARACTER PERSONAL ŞI IT

Copiile de rezervă ale informaţiei care conţine date cu caracter personal
114. Intervalul de timp în care se execută copiile de siguranţă a informaţiilor care conţin date cu caracter personal şi a soft-urilor folosite pentru prelucrările automatizate a datelor cu caracter personalse efectuează lunar și se păstrează în locuri protejate.

115. Copiile de siguranţă se testează în scopul verificării siguranţei purtătorilor de informaţii şi integrităţii informaţiei care conţine date cu caracter personal.

116. Procedurile de restabilire a copiilor de siguranţă se actualizează şi se testează cu regularitate, în scopul asigurării eficacităţii acestora.

117. Copiile de siguranţă se păstrează în cutii metalice cu sigiliu aplicat şi stocate în afara zonei de amplasare a informaţiei care conţine date cu caracter personal și de soft-urile de bază.

CONTROALELE DE SECURITATE A SISTEMELOR INFORMAŢIONALE 

118. Administratorul realizează cu regularitate, dar nu mai rar de odată pe an,verificarea îndeplinirii măsurilor tehnice şi/sau organizaţionale stabilite pentru detectarea unor disfuncţionalităţi în ceea ce priveşte folosirea în procesul prelucrării datelor cu caracter personal a sistemelor de telecomunicaţii şi, în caz de necesitate, efectuează îmbunătăţirile.

119. Controalelede securitate se actualizează de fiecare dată când Administratorul este reorganizat sau modifică infrastructura.

GESTIONAREA INCIDENTELOR DE SECURITATE A SISTEMELOR INFORMAŢIONALE DE DATE CU CARACTER PERSONAL

Instructajul de reacţionare la incidentele de securitate a sistemelor informaţionale 
120. Personalul care asigură exploatarea sistemelor informaţionale de date cu caracter personal, ce fac parte integrantă a platformei www.e-sanatate.md, este instruit, minimum odată în an, cu privire la responsabilităţile şi obligaţiile în cazul executării acţiunilor de gestionare şi reacţionare la incidentele de securitate.

Prelucrarea incidentelor de securitate a sistemelor informaţionale 
121. Incidentele care încalcă securitatea sistemelor informaţionale, ce fac parte integrantă din portalul www.e-sanatate.md sunt aduse neîntârziat la cunoștința Administratorului prin intermediul poştei electronice sau scrisorii oficiale.

122. Prelucrarea incidentelor include depistarea, analiza, preîntâmpinarea dezvoltării, înlăturarea lor şi restabilirea securităţii, și se realizează prin utilizarea mijloacelor automatizate pentru susţinerea procesului de prelucrare a incidentelor de securitate a sistemelor informaţionale de date cu caracter personal.

Monitorizarea incidentelor de securitate a sistemelor informaţionale 
123. Incidentele de securitate a sistemelor informaţionale de date cu caracter personal,  ce fac parte integrantă a platformei www.e-sanatate.md, se urmăresc şi se documentează în regim permanent prin utilizarea mijloacelor automatizate pentru urmărirea incidentelor de securitate, colectarea şi analiza informaţiei despre aceste incidente.

Prezentarea rapoartelor despre incidentele de securitate a sistemelor informaţionale 
124. Anual, către 31 ianuarie, PAS INTEGRATOR S.R.L.  prezintă Centrului Naţional pentru Protecţia Datelor cu Caracter Personal raportul generalizat despre incidentele de securitate a sistemelor informaţionale ce fac parte integrantă a platformei www.e-sanatate.md. 

PROTECŢIA TEHNICĂ A INFORMAŢIEI

125. În locul amplasării mijloacelor tehnice principale ale platformei www.e-sanatate.mdeste exclusă prezenţa necontrolată a persoanelor sau a mijloacelor de transport, precum şi instalarea întâmplătoare a antenelor, într-o zonă de minimum 15 metri, în scopul asigurării securităţii prelucrării datelor cu caracter personal.

126. Încăperile pentru servere sunt protejate contra scurgerii informaţiei care conţine date cu caracter personal ca urmare a emisiilor electromagnetice prin ecranarea încăperilor, fiind asigurată continuitatea conexiunii electrice a materialului tuturor părţilor ecranului (pereţi, tavan, podea, ferestre şi uşi).

127. Construcţiile de ecranaresunt înzestrate cu prize de pământ care se amplasează în perimetrul controlat.

128. Protecţia informaţiei care conţine date cu caracter personal include șirealizarea măsurilor împotriva scurgerii prin intermediul reţelei electrice, încrucişării reţelelor electrice ale obiectului cu instalarea filtrelor de protecţie care să blocheze (bruieze) semnalul.

129. Instalarea neautorizată a altor dispozitive electrice, radio sau de alt gen în încăperile unde sunt amplasate mijloacele tehnice de prelucrare a datelor cu caracter personal este exclusă, iar utilajul, liniile căruia au ieşire în afara perimetrului controlat, este instalat la o distanţă de cel puţin 3 metri de la mijloacele TI în care sunt prelucrate date cu caracter personal.