Cookie preferences

YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.

Acord de prelucrare a datelor

Versiunea 3.0 · Ultima actualizare: 9 mai 2026 · Cu efect imediat

1. Părți

Prezentul Acord de Prelucrare a Datelor ("DPA") este încheiat între Client ("Operatorul de Date") și YARDtwin Ltd, înregistrată în Irlanda ("Persoana Împuternicită"), denumite colectiv "Părțile". Prezentul DPA face parte integrantă din, și este supus, YARDtwin Termeni și Condiții.

2. Domeniu de aplicare și scop

Persoana Împuternicită prelucrează datele cu caracter personal în numele Operatorului exclusiv în scopul furnizării platformei de management al curții YARDtwin: programarea docurilor, operațiuni la poartă, vizualizare digitală twin a curții, managementul transportatorilor și șoferilor, jurnal de audit conform GMP, analiză și integrări. Prelucrarea se efectuează pe durata abonamentului Operatorului și a oricărei perioade de retenție impuse de Secțiunea 11.

3. Categorii de persoane vizate

  • Angajații și administratorii Operatorului (utilizatori nominali ai platformei)
  • Șoferi și personal logistic înregistrați la porțile Operatorului
  • Reprezentanți ai transportatorilor și contacte de dispecerat
  • Personal de securitate la poartă și operatori de depozit

4. Tipuri de date cu caracter personal

  • Date de identitate: nume, adrese de e-mail, numere de telefon, funcție/titlu profesional, denumirea și adresa companiei
  • Date de autentificare: parole criptate bcrypt (12 runde), token-uri de acces și reîmprospătare JWT, marcaje temporale ale sesiunilor, adrese IP, identificatori SSO (Google, Microsoft)
  • Date operaționale: programări, alocări de docuri, mișcări de remorci, înregistrări de inspecție, documente, atribuiri de sarcini, înmatriculări de vehicule
  • Date șofer: numere de permis, imagini ale permisului, imagini faciale opționale pentru verificare biometrică la poartă (date din categorii speciale, Art. 9 GDPR — prelucrate doar acolo unde Operatorul a activat verificarea biometrică la poartă și a obținut consimțământul explicit la momentul colectării)
  • Date de audit: acțiuni ale utilizatorilor, marcaje temporale, adrese IP, șiruri user-agent, diferențe valori vechi/noi, înregistrări marcate GMP

5. Obligațiile Persoanei Împuternicite

  • Prelucrează datele cu caracter personal numai pe baza instrucțiunilor documentate ale Operatorului (interfața UI a platformei și API constituie instrucțiuni documentate)
  • Se asigură că persoanele autorizate să prelucreze date sunt legate prin acorduri de confidențialitate
  • Implementează măsuri tehnice și organizatorice de securitate adecvate (Art. 32) — a se vedea Secțiunea 7 de mai jos
  • Nu angajează sub-procesatori fără autorizare prealabilă scrisă; furnizează o notificare cu cel puțin 30 de zile înainte de orice nou sub-procesator (drept de opoziție)
  • Asistă Operatorul în gestionarea cererilor persoanelor vizate (Art. 15–22) prin intermediul endpoint-urilor DSAR descrise în Secțiunea 9
  • Notifică Operatorul cu privire la încălcările datelor cu caracter personal fără întârziere nejustificată și în termen de 72 de ore (Secțiunea 8)
  • Șterge sau returnează toate datele cu caracter personal la încetarea serviciilor (Secțiunea 11)
  • Pune la dispoziție toate informațiile necesare pentru a demonstra conformitatea și a sprijini auditurile (Secțiunea 12)

6. Sub-procesatori

Procesatorul angajează în prezent următorii sub-procesatori, fiecare acționând în baza unui Acord de Prelucrare a Datelor și (după caz) a Clauzelor Contractuale Standard 2021:

Sub-procesatorScopLocațieMăsuri de protecție
Microsoft AzureGăzduire (App Service, Postgres Flexible Server, Blob Storage, Key Vault, App Insights, Front Door + WAF)SEE — Sweden Central + Norway EastMicrosoft Online Services DPA + EU SCCs, ISO 27001, SOC 2 Type II, ISO 27018, EU Data Boundary
StripeFacturare abonamente și procesare plăți (numerele de card nu sunt stocate de YARDtwin)Stripe Ireland (SEE), unele operațiuni de suport în SUAStripe DPA + EU SCCs + PCI DSS Level 1
ResendE-mail tranzacțional (bun venit, memento-uri perioadă de probă, răspunsuri DSAR, alerte de încălcare)SUA (Delaware)Resend DPA + EU SCCs (verificarea măsurilor suplimentare FISA 702 în curs — a se vedea GDPR Policy 11.6)
Google Cloud VisionOCR permis de conducere (numai atunci când Operatorul activează verificarea permisului la poartă)Regiuni UEGoogle Cloud DPA + EU SCCs, ISO 27001, SOC 2
Google / Microsoft (OAuth SSO)Token-uri de identitate Single Sign-On pentru utilizatorii care aleg SSOSEE (Microsoft Entra ID) / Global (Google Workspace)Microsoft / Google Cloud DPAs
AnthropicClaude API pentru asistentul AI integrat în produs și parsarea textului OCR din permiseSUA (California)Anthropic DPA + declarație de retenție zero + EU SCCs (verificarea măsurilor suplimentare FISA 702 în curs)

Clienții sunt notificați cu cel puțin 30 de zile înainte de adăugarea oricărui nou sub-procesator, cu dreptul de a se opune și de a rezilia contractul fără penalități.

7. Măsuri de securitate (Art. 32)

  • Criptare în tranzit: TLS 1.2+ pe fiecare endpoint; certificate gestionate de Microsoft Azure (DigiCert)
  • Criptare în repaus: Criptare transparentă a datelor Azure Postgres Flexible Server; criptare Azure Blob Storage
  • Criptare la nivel de câmp: AES-256-GCM pentru datele biometrice (imagini permis de conducere, imagini semnătură), chei stocate în Azure Key Vault
  • Hashing parole: bcrypt, 12 runde
  • Autentificare: Token-uri de acces JWT (expirare după 1 oră) + token-uri de reîmprospătare (expirare după 7 zile, rotație la utilizare); SSO prin Google și Microsoft echivalent MFA
  • Izolare chiriași: aplicată pe fiecare rută API, testată prin audit cross-tenant cu 25 de vectori la fiecare lansare
  • Control acces bazat pe roluri: șase roluri (admin, ops_manager, gate_guard, warehouse_operator, carrier, super_admin), middleware cu privilegii minime
  • Firewall pentru aplicații web: Azure Front Door + WAF gestionat (OWASP Core Rule Set, protecție bot, L7 DDoS)
  • Limitare rată: limite per rută, mai stricte pe endpoint-urile de autentificare; urmărire tentative în memorie și persistentă
  • Pistă de audit: doar adăugare la nivelul aplicației, păstrare 6 ani, înregistrările relevante GMP marcate separat, pseudonimizate (nu șterse) la cererea de ștergere conform Art. 17, sub Art. 17(3)(b)
  • Monitorizare continuă: Azure Application Insights, alertă de derivă a schemei (fereastră de 15 minute), sondă end-to-end /health/db-write, worker de monitorizare anomalii de breșe (creșteri de autentificări eșuate, atacuri multi-IP, autentificări din țări diferite, rată 5xx)
  • Lanțul de aprovizionare software: npm audit, Trivy, Semgrep, gitleaks, OWASP ZAP la fiecare PR. Secrete: Azure Key Vault accesat prin identitate gestionată App Service; niciun secret în cod, fișiere env sau imagini de container

8. Notificarea Breșelor de Date cu Caracter Personal

Operatorul va notifica Controlorul fără întârzieri nejustificate și cel târziu în termen de 72 de ore de la luarea la cunoștință a unei breșe de date cu caracter personal care afectează datele Controlorului (Art. 33). Notificarea va include natura breșei, categoriile și numărul aproximativ de persoane vizate afectate, consecințele probabile, măsurile luate sau propuse și referința din registrul de breșe. Anomaliile detectate sunt direcționate către Azure Monitor Action Group yardtwin-breach-actions; incidentele confirmate sunt urmărite în tabelul registrului de breșe cu un termen de numărătoare inversă DPC de 72 de ore.

9. Drepturile Persoanelor Vizate

Operatorul pune la dispoziția Controlorului următoarele puncte de acces pentru îndeplinirea drepturilor persoanelor vizate în termenul de 30 de zile prevăzut de Art. 12(3):

  • POST /api/v1/dsar/export/by-email — export lizibil automat acoperind Art. 15 (acces) și Art. 20 (portabilitate)
  • POST /api/v1/dsar/erase/by-email — pseudonimizare în toate tabelele cu date cu caracter personal, cu păstrarea jurnalelor de audit conform Art. 17(3)(b)
  • Portal de solicitare self-service la /data-request

10. Transferuri Internaționale

Datele operaționale sunt stocate în Spațiul Economic European (Microsoft Azure, Sweden Central + Norway East). Transferurile ulterioare către sub-operatori din afara SEE (Resend, Anthropic) sunt reglementate prin Clauze Contractuale Standard 2021 cu Evaluări de Impact al Transferului documentate. Stripe contractează prin Stripe Ireland (SEE primar).

11. Durată, Reziliere și Returnarea Datelor

Acest DPA rămâne în vigoare pe durata acordului de servicii. La reziliere:

  • Controlorul poate exporta toate datele sale în termen de 30 de zile prin funcțiile de export din produs sau la cerere
  • După 30 de zile, Operatorul va șterge toate datele personale operaționale ale Controlorului
  • Jurnalele de audit sunt păstrate timp de 6 ani după eveniment în stare pseudonimizată, conform cerințelor 21 CFR Part 11 / EU GMP Annex 11 (derogare obligație legală Art. 17(3)(b))
  • Copiile de rezervă sunt șterse în termen de 7 zile de la ștergerea operațională, în conformitate cu fereastra de recuperare point-in-time

12. Drepturi de Audit

Operatorul va pune la dispoziția Controlorului toate informațiile necesare pentru a demonstra conformitatea cu Art. 28 GDPR. Clienții pot solicita: copii ale certificărilor de securitate și rapoartelor de audit relevante (acolo unde există), registrul curent al sub-operatorilor, cel mai recent raport de testare de regresie a izolării chiriașilor, cel mai recent rezumat al testului de penetrare extern (când este emis, a se vedea Politica GDPR 11.1) și răspunsuri la un chestionar de securitate pentru furnizori. Auditurile rezonabile la fața locului sau la distanță pot fi organizate cu cel puțin 30 de zile preaviz, efectuate de Controlor sau de un terț independent obligat prin confidențialitate. Operatorul va acorda prioritate rapoartelor ISO 27001 / SOC 2 Type II ca dovezi substitutive odată ce aceste certificări sunt obținute.

13. Răspundere și Drept Aplicabil

Răspunderea în temeiul acestui DPA este supusă limitărilor prevăzute în YARDtwin Termeni și Condiții. Acest DPA este guvernat de legislația Irlandei și de Regulamentul General al Uniunii Europene privind Protecția Datelor (GDPR). Orice litigii sunt supuse jurisdicției exclusive a instanțelor din Irlanda.

14. Contact

Pentru întrebări despre acest DPA, pentru a solicita o copie contrasemnată sau pentru a exercita oricare dintre drepturile menționate mai sus, contactați admin@yardtwin.com sau Responsabilul cu Protecția Datelor la dpo@yardtwin.com. Un DPO extern fracțional este în curs de contractare (Politica GDPR 11.2); până la numire, mesajele trimise la dpo@yardtwin.com sunt direcționate către admin@yardtwin.com.

Prin acceptare, Clientul este de acord să fie obligat prin prezentul Acord de Prelucrare a Datelor v3.0 în calitate de Operator de Date.

Bună! Începe perioada de probă gratuită în 2 minute — te ajut să configurezi totul!