Ultima actualizare: 7 iulie 2026
BIWizz este workspace-ul financiar comun al firmei tale și al contabilului. Pentru că prin platformă trec facturi, date bancare și declarații fiscale, tratăm securitatea și confidențialitatea ca cerințe de produs, nu ca o pagină de marketing. Mai jos găsești, pe scurt, ce facem tehnic și legal — detaliile complete, cu forță juridică, rămân în Politica de confidențialitate, Termenii și condițiile și Politica de cookie-uri.

Izolare pe cont
Fiecare interogare la baza de date este filtrată automat de Postgres Row-Level Security după contul dumneavoastră — nu există interogare care să poată vedea datele altui client.
Token-uri criptate
Token-urile OAuth pentru ANAF SPV, Google Drive și SmartBill sunt criptate cu AES-256-GCM înainte de a fi salvate — nu sunt stocate neencriptate.
Jurnal de audit imutabil
Fiecare emitere, anulare, plată sau conectare externă este înregistrată într-un jurnal de audit doar-adăugare, vizibil dumneavoastră în platformă.
AI cu om în buclă
Wizzy pregătește și propune — facturi, storno-uri, trimiteri către ANAF. Nimic nu se execută înainte să apăsați „Confirmă".
Găzduire în UE
Baza de date și fișierele stau pe infrastructură Supabase (AWS Frankfurt); aplicația rulează pe Vercel.
Notificare în 72h
În cazul unei breșe cu risc pentru dumneavoastră, notificăm ANSPDCP în 72h și pe dumneavoastră fără întârziere, conform Art. 33-34 GDPR.
Ce date procesăm
Date de cont (nume, email), date ale firmei (CUI, IBAN, cod CAEN), documente contractuale și financiare (facturi, încasări, declarații), documente încărcate (PDF-uri, poze de bonuri) și jurnale de utilizare (audit, adrese IP, token-uri de sesiune). Lista completă, cu temeiul legal pentru fiecare categorie, este în Politica de confidențialitate, secțiunea 2.
Izolare pe cont (Row-Level Security)
Datele fiecărui cont sunt separate la nivelul bazei de date, nu doar în interfață: fiecare tabel are Row-Level Security activat în Postgres, iar fiecare interogare verifică apartenența la cont înainte de a returna vreun rând. Un utilizator autentificat nu poate — indiferent de bug-uri în interfață — primi rânduri din contul altei firme, pentru că filtrarea se întâmplă în baza de date, nu în cod aplicație.
Criptarea token-urilor de integrare
Token-urile OAuth pentru conectori (ANAF SPV pentru e-Factura, Google Drive, SmartBill) sunt criptate la nivel de aplicație cu AES-256-GCM înainte de a fi scrise în baza de date — cheia de criptare este separată de baza de date. Toate transferurile de date, în tranzit, folosesc TLS 1.3.
Sub-procesatori
Ne bazăm pe un număr mic de furnizori, fiecare cu acord de prelucrare a datelor (DPA) sau Clauze Contractuale Standard: Supabase (bază de date, autentificare, stocare), Vercel (hosting), Google Cloud / Vertex AI (procesare AI a documentelor), Resend (email tranzacțional) și ANAF (schimb de date pentru e-Factura). Lista completă — inclusiv furnizorii de analiză și marketing activați doar cu consimțământul dvs. — este în Politica de confidențialitate, secțiunea 4.
AI cu supraveghere umană

Wizzy, asistentul AI din platformă, folosește Google Gemini prin Vertex AI pentru a citi documente și a pregăti sugestii contabile. Documentele sunt procesate sub termenii Google Cloud pentru clienți enterprise — nu sunt folosite pentru antrenarea modelelor Google.
Wizzy nu execută niciodată singur o acțiune ireversibilă. Pentru emiterea unei facturi, un storno, trimiterea unui email sau depunerea către ANAF, Wizzy pregătește un card cu acțiunea propusă — acțiunea reală se execută abia după ce apăsați „Confirmă”, cu autentificarea și permisiunile dumneavoastră.
Jurnal de audit
Fiecare acțiune care schimbă o factură sau o conectare externă (emitere, anulare, plată, conectare/deconectare SPV) este scrisă într-un jurnal de audit doar-adăugare — nimeni, inclusiv echipa BIWizz, nu poate modifica sau șterge o intrare din jurnal. Îl puteți consulta din secțiunea „Audit” a contului dumneavoastră.
Retenția documentelor fiscale
| Categorie | Perioadă |
|---|---|
| Documente justificative și registre (facturi, declarații) | 5 ani de la 1 iulie a anului următor încheierii exercițiului financiar — Legea contabilității nr. 82/1991, art. 25 |
| Situații financiare anuale | 10 ani |
| Backup-uri criptate | 30 de zile rotative |
| Date de cont, după închiderea contului | 90 de zile (fereastră de recuperare), apoi șterse |
Documentele fiscale nu pot fi șterse înainte de termenul legal, nici la cerere expresă — rămân pe suport criptat, cu acces restricționat, exact cât cere legea.
Răspunsul la incidente de securitate
În cazul unei breșe de date cu risc pentru drepturile dumneavoastră, notificăm Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în cel mult 72 de ore de la constatare (Art. 33 GDPR) și vă informăm direct, fără întârziere nejustificată (Art. 34 GDPR).
Ați găsit o vulnerabilitate? Scrieți-ne la security@biwizz.ro — răspundem oricărei sesizări responsabile, înainte de orice divulgare publică.
Drepturile dumneavoastră GDPR
Aveți dreptul de acces, rectificare, ștergere, restricționare a prelucrării, portabilitate a datelor (export CSV/JSON direct din aplicație) și opoziție, plus dreptul de a cere intervenție umană pentru orice decizie automată. Detaliile și modul de exercitare sunt în Politica de confidențialitate, secțiunea 7.
Contact
Întrebări despre securitate, confidențialitate sau un acord de prelucrare a datelor (DPA)? Scrieți-ne la security@biwizz.ro sau la office@biwizz.ro.