Securitate

Cum protejăm datele contabile și fiscale ale firmei tale

Ultima actualizare: 7 iulie 2026

BIWizz este workspace-ul financiar comun al firmei tale și al contabilului. Pentru că prin platformă trec facturi, date bancare și declarații fiscale, tratăm securitatea și confidențialitatea ca cerințe de produs, nu ca o pagină de marketing. Mai jos găsești, pe scurt, ce facem tehnic și legal — detaliile complete, cu forță juridică, rămân în Politica de confidențialitate, Termenii și condițiile și Politica de cookie-uri.

Documente financiare protejate de un scut digital

Izolare pe cont

Fiecare interogare la baza de date este filtrată automat de Postgres Row-Level Security după contul dumneavoastră — nu există interogare care să poată vedea datele altui client.

Token-uri criptate

Token-urile OAuth pentru ANAF SPV, Google Drive și SmartBill sunt criptate cu AES-256-GCM înainte de a fi salvate — nu sunt stocate neencriptate.

Jurnal de audit imutabil

Fiecare emitere, anulare, plată sau conectare externă este înregistrată într-un jurnal de audit doar-adăugare, vizibil dumneavoastră în platformă.

AI cu om în buclă

Wizzy pregătește și propune — facturi, storno-uri, trimiteri către ANAF. Nimic nu se execută înainte să apăsați „Confirmă".

Găzduire în UE

Baza de date și fișierele stau pe infrastructură Supabase (AWS Frankfurt); aplicația rulează pe Vercel.

Notificare în 72h

În cazul unei breșe cu risc pentru dumneavoastră, notificăm ANSPDCP în 72h și pe dumneavoastră fără întârziere, conform Art. 33-34 GDPR.

Ce date procesăm

Date de cont (nume, email), date ale firmei (CUI, IBAN, cod CAEN), documente contractuale și financiare (facturi, încasări, declarații), documente încărcate (PDF-uri, poze de bonuri) și jurnale de utilizare (audit, adrese IP, token-uri de sesiune). Lista completă, cu temeiul legal pentru fiecare categorie, este în Politica de confidențialitate, secțiunea 2.

Izolare pe cont (Row-Level Security)

Datele fiecărui cont sunt separate la nivelul bazei de date, nu doar în interfață: fiecare tabel are Row-Level Security activat în Postgres, iar fiecare interogare verifică apartenența la cont înainte de a returna vreun rând. Un utilizator autentificat nu poate — indiferent de bug-uri în interfață — primi rânduri din contul altei firme, pentru că filtrarea se întâmplă în baza de date, nu în cod aplicație.

Criptarea token-urilor de integrare

Token-urile OAuth pentru conectori (ANAF SPV pentru e-Factura, Google Drive, SmartBill) sunt criptate la nivel de aplicație cu AES-256-GCM înainte de a fi scrise în baza de date — cheia de criptare este separată de baza de date. Toate transferurile de date, în tranzit, folosesc TLS 1.3.

Sub-procesatori

Ne bazăm pe un număr mic de furnizori, fiecare cu acord de prelucrare a datelor (DPA) sau Clauze Contractuale Standard: Supabase (bază de date, autentificare, stocare), Vercel (hosting), Google Cloud / Vertex AI (procesare AI a documentelor), Resend (email tranzacțional) și ANAF (schimb de date pentru e-Factura). Lista completă — inclusiv furnizorii de analiză și marketing activați doar cu consimțământul dvs. — este în Politica de confidențialitate, secțiunea 4.

AI cu supraveghere umană

Wizzy propune o acțiune, omul o aprobă

Wizzy, asistentul AI din platformă, folosește Google Gemini prin Vertex AI pentru a citi documente și a pregăti sugestii contabile. Documentele sunt procesate sub termenii Google Cloud pentru clienți enterprise — nu sunt folosite pentru antrenarea modelelor Google.

Wizzy nu execută niciodată singur o acțiune ireversibilă. Pentru emiterea unei facturi, un storno, trimiterea unui email sau depunerea către ANAF, Wizzy pregătește un card cu acțiunea propusă — acțiunea reală se execută abia după ce apăsați „Confirmă”, cu autentificarea și permisiunile dumneavoastră.

Jurnal de audit

Fiecare acțiune care schimbă o factură sau o conectare externă (emitere, anulare, plată, conectare/deconectare SPV) este scrisă într-un jurnal de audit doar-adăugare — nimeni, inclusiv echipa BIWizz, nu poate modifica sau șterge o intrare din jurnal. Îl puteți consulta din secțiunea „Audit” a contului dumneavoastră.

Retenția documentelor fiscale

CategoriePerioadă
Documente justificative și registre (facturi, declarații)5 ani de la 1 iulie a anului următor încheierii exercițiului financiar — Legea contabilității nr. 82/1991, art. 25
Situații financiare anuale10 ani
Backup-uri criptate30 de zile rotative
Date de cont, după închiderea contului90 de zile (fereastră de recuperare), apoi șterse

Documentele fiscale nu pot fi șterse înainte de termenul legal, nici la cerere expresă — rămân pe suport criptat, cu acces restricționat, exact cât cere legea.

Răspunsul la incidente de securitate

În cazul unei breșe de date cu risc pentru drepturile dumneavoastră, notificăm Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în cel mult 72 de ore de la constatare (Art. 33 GDPR) și vă informăm direct, fără întârziere nejustificată (Art. 34 GDPR).

Ați găsit o vulnerabilitate? Scrieți-ne la security@biwizz.ro — răspundem oricărei sesizări responsabile, înainte de orice divulgare publică.

Drepturile dumneavoastră GDPR

Aveți dreptul de acces, rectificare, ștergere, restricționare a prelucrării, portabilitate a datelor (export CSV/JSON direct din aplicație) și opoziție, plus dreptul de a cere intervenție umană pentru orice decizie automată. Detaliile și modul de exercitare sunt în Politica de confidențialitate, secțiunea 7.

Contact

Întrebări despre securitate, confidențialitate sau un acord de prelucrare a datelor (DPA)? Scrieți-ne la security@biwizz.ro sau la office@biwizz.ro.

BIWIZZ PARTNERS S.R.L.

CUI 54301827 · Reg. Com. J2026018731004

București, Sectorul 4, Drumul Binelui nr. 7-9, 042146

office@biwizz.ro · 0750 252 054

Protecția consumatorilor