Política de Privacidad

Información recogida y utilizada

 

* Tu información de cliente (email, contraseña de tu cuenta de cliente, y posiblemente nombre de la empresa, nombre y apellido del contacto, dirección, código postal, país y número VAT) quedará guardada luego de registrarte. Esta información nos permite facturar el servicio, si eligió la oferta paga.

*Si te has suscrito a la oferta de pago, también almacenamos la siguiente información: Tu mandato SEPA si has elegido el pago SEPA, los últimos 4 dígitos de tu tarjeta si has optado por el pago con tarjeta. Los datos completos de su tarjeta de crédito, necesarios para el pago con tarjeta, no son almacenados por nosotros, sino por nuestro proveedor de pagos Stripe (líder mundial en pagos en línea). No estamos al tanto, cada muestra pasa por una solicitud que enviamos a este proveedor. Cuando rellena sus datos bancarios, éstos se envían directamente a Stripe y, por tanto, no se almacenan en nuestros servidores.

* Tiene la opción de solicitar la eliminación de su cuenta y de la información anterior en cualquier momento.

* El contacto de referencia de las Políticas de Privacidad y GDPR para nuestros servicios es: Oficina de Protección de Datos rgpd-dpo@glpi-network.cloud

 

Almacenamiento de datos y copias de seguridad

 

* El almacenamiento de los datos recogidos (véase “Información recogida y utilizada”) se realiza en una base de datos. La contraseña no se almacena, pero para permitir la validación de su conexión a su espacio de enlace, almacenamos el código cifrado de esta contraseña, generado por el algoritmo de cifrado no reversible SHA256.

* Una vez suscrito a la oferta de pago, se realiza una copia de seguridad diaria que se almacena en discos de almacenamiento independientes alojados en OVH en Europa (Francia). Solo se guardan por 30 días.

 

Subcontratista

 

* Nuestros servicios se apoyan en los siguientes subcontratistas y servicio:
** El proveedor de hosting de los servidores informáticos, que es OVH. Estos servidores están alojados en Europa (Francia). No se comunica ninguna información del cliente a este subcontratista, que sólo proporciona el hardware y la capa de red, siendo nosotros quienes realizamos directamente la instalación y el funcionamiento.
** El servicio de pago en línea Stripe, que se utiliza, para garantizar el pago regular de la suscripción. Cuando rellenas los datos de tu tarjeta de crédito, se envían directamente a Stripe al introducir el número para realizar el pago (esto significa que nunca conocemos los datos de tu tarjeta de crédito. Stripe nos da sólo los últimos 4 dígitos, lo que nos permite ser capaces de identificar/analizar los problemas de pago). ** El Sendgrid servicio de retransmisión de correo electrónico, que se utiliza para retransmitir las notificaciones de correo electrónico de GLPI cuando se utiliza el modo “PHP” (por defecto) y no se especifica un SMTP propio en la configuración de GLPI.

 

 

Firewall

 

* Nuestra arquitectura GLPI Cloud está protegida de Internet por la red OVHCloud Firewall (que también se encarga del Anti-DDOS) con estrictas reglas de seguridad. Sólo se permiten protocolos bien definidos (sólo HTTPS), todo lo demás se bloquea incluso antes de llegar a las instancias de GLPI Cloud (ya sea en la oferta pública o privada). El firewall de Linux también se activa en cada instancia (para proteger las instancias dentro de las redes de OVHCloud), con las mismas restricciones de protocolo que en los firewalls de entrada. (Privado) El acceso externo HTTPS puede ser filtrado en rangos de IP públicas identificadas por el cliente.

 

Mantenimiento de sistemas

 

* El acceso de mantenimiento para los equipos TECLIB sólo es posible desde un Bastión SSH dedicado a TECLIB. El acceso a este bastión sólo es posible con una conexión VPN autentificada por un certificado nominativo, renovado cada año y revocado en caso de problema o de salida de un empleado

* El mantenimiento del servidor se realiza y supervisa desde la herramienta Ubuntu Landscape, en línea con nuestra herramienta de inventario dedicada a las instancias Cloud (GLPI, por supuesto) sobre la que realizamos mediciones de impacto, alertas de versiones, espacios en disco , dominios, certificados, seguimiento de cambios / problemas / incidencias / etc.

 

Correcciones de seguridad (aplicación GLPI)

 

* Como parte de nuestro compromiso de corrección de errores, desplegamos parches de seguridad en las instancias de la nube incluso antes de que el código se publique en el espacio de desarrollo de la comunidad (Github).

 

Seguridad / supervisión de herramientas

* Nuestras instalaciones cumplen como mínimo con el nivel reforzado descrito en el documento “RECOMENDACIONES DE SEGURIDAD RELATIVAS A UN SISTEMA GNU / LINUX” publicado por ANSSI: https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-un-systeme-gnulinux/ .

* Usamos las siguientes herramientas:

  • rkhunter (antirootkit)
  • afick (controlador de la integridad de los archivos)
  • AppArmor (perfiles de seguridad por aplicación)
  • fail2ban (prevención de intrusiones, 404 anti-flood, anti-descubrimiento)
  • ModSecurity (aplicación web firewall, módulo Apache)
  • lynis (auditoría del cumplimiento de las instrucciones de seguridad)
  • fluentd (Recolección de registros)
  • graylog (agregación / alertas de registro)
  • uptimerobot (sonda de disponibilidad externa)
  • datadog (monitoreo de recursos)
  • healthchecks (cron monitoreo)
  • GLPI (inventario / CMDB / projectos / cambio / incidente / problemas)
  • mattermost (centralización de las notificaciones / chat de equipo)

 

 

Protección de Software

 

* Nuestros servicios funcionan con sistemas y software Linux Ubuntu. Se benefician de las actualizaciones de seguridad periódicas cuando el editor del sistema operativo (Ubuntu Canonical) las publica.

* Nuestros servicios son accesibles sólo en HTTPS (cifrado HTTP), encriptados con certificados SHA256.

* Nuestra plataforma técnica está protegida por varios dispositivos de última generación en materia de seguridad informática: FireWall, Banishing Tools, Sistema de detección de uso de SPAM y DOS Protection, protección de software anti-inyección, anti-XSS en el software utilizado para el área de clientes y proporcionado a los usuarios. Las pruebas de estos componentes de software se realizan automáticamente mediante las herramientas PHP-Unit y Travis-CI.

 

Robo de datos

 

* En caso de sospecha de robo de los datos que hemos recopilado (véase el primer punto “Información recopilada y utilizada”), los clientes serán informados por correo electrónico, en la dirección correspondiente a su cuenta de cliente

¿Estás listo? Cree su propia cuenta!