Această pagină adresează furnizorilor de software HR și providerilor de servicii de salarizare din România care gestionează date personale ale angajaților pentru multiple organizații. Veți afla obligațiile concrete de conformitate NIS2, riscurile specifice ale sistemelor multi-tenant și strategie pentru conformitate înainte de 18 octombrie 2026.
Furnizorii de software HR și serviciile de salarizare care gestionează date personale ale angajaților pentru mai mult de 10 clienți organizații în România sau care procesează date pentru organizații clasificate ca entități critice sau importante. Conform Legii 362/2022, această clasificare se aplică furnizorilor digitali care prestează servicii esențiale pentru funcționarea activităților clienților și ai căror incidente pot afecta mai mulți beneficiari.
Trebuie să implementați control accesului strict bazat pe rol (RBAC) pentru a asigura că datele salariale și informațiile personale ale angajaților unui client nu sunt accesibile altui client. Fiecare client trebuie să dispună de spațiu izolat la nivel de bază de date sau aplicație, cu logică de filtrare la fiecare interogare. Auditați lunar integritatea izolării prin teste de penetrare și verificări de logică de criptare pentru a confirma că o scurgere în credențialele unui administrator nu va compromite alți clienți.
Administratorii sistemelor de salarizare și HR trebuie să utilizeze hardware MFA (chei FIDO2 sau jetoane hardware) pentru accesul la funcții administrative, nu doar coduri SMS sau aplicații software. Orice acces administrativ la baze de date clienților, logs de audit sau setări de izolare tenant trebuie logat și revizuit zilnic. Implementați rotația obligatorie a parolelor administatorilor la 90 de zile și revocarea imediată a accesului administrativ la încetarea contractelor, cu audit de verificare a efectuării.
Orice incident de securitate care afectează datele salariale sau informațiile personale ale angajaților la mai mult de un client trebuie raportat Autorității Naționale pentru Administrare și Reglementare în Comunicații (ANRC) în maxim 24 de ore de la detectare, și clienților afectați în 72 de ore. Trebuie să mențineți log centralizat de incidente cu data detecției, amploare estimată, clienți afectați și măsuri de remediere. Include în raport orice tip de acces neautorizat la date salariale, chiar și cazuri de expunere accidentală prin email sau transfer neencriptat.
Contractele cu clienții trebuie să includă clauze care specifică timeline-ul obligatoriu pentru ștergerea completă a datelor (maxim 30 zile după încetare). Implementați procedură documentată cu verificare în trei faze: ștergere logică din aplicație, ștergere din backup-uri, și certificat final de ștergere semnat de responsabil. Mențineți înregistrare de audit a fiecărei ștergeri pentru a demonstra Autorității conformitatea cu GDPR și NIS2 în caz de control.
Trebuie să păstrați plan actualizat de recuperare după dezastre cu RTO (Recovery Time Objective) sub 8 ore și RPO (Recovery Point Objective) sub 1 oră pentru sisteme de salarizare. Testați anual acest plan cu simulări complete și documentați rezultatele. Planul trebuie să acoperă scenarii de pierdere de bază de date, acces neautorizat, criptare ransomware și defecțiuni furnizorilor de cloud. Comunicați clienților rezultatele testelor și confirmați că serviciul nu va fi întrerupt mai mult de 8 ore consecutive.
Izolarea tenant înseamnă că datele clienților sunt complet separate logic și fizic, astfel încât un utilizator autentificat pentru Client A nu poate vedea niciodată date ale Client B, chiar dacă ar forța parametrii de interogare. Verific prin teste penetrare unde un administrator încearcă manual să manipuleze ID-uri de tenant în requeste API sau bază de date; dacă obține date din alt tenant, izolarea a eșuat. Efectuez această verificare anual și mențin raport de testare pentru autorități.
Hardware MFA (chei FIDO2) nu poate fi phishing-ite întrucât nu transmite niciun cod care ar putea fi furat, iar atacatorul ar trebui să dețină fizic cheia. MFA software este vulnerabil la malware pe telefon sau la interceptare de SMS. Pentru sisteme de salarizare care gestionează date sensibile ale mai multorilor clienți, hardware MFA reduce riscul de compromis administrativ care ar putea afecta simultan toți clienții, deci este obligatoriu conform NIS2.
Conform Legii 362/2022, nerespectarea obligațiilor NIS2 poate atrage amenzi de până la 2% din cifra de afaceri anuală globală, plus sancțiuni administrative și suspendarea licenței de prestare serviciu digital. Dacă incidentul a cauzat prejudiciu mai multorilor clienți, amenda poate ajunge la 4% din cifra de afaceri. Autoritatea ANRC poate declara furnizorul neconform și obliga plăți de despăgubiri către clienți dacă nu demonstreze conformitate până la 18 octombrie 2026.