Politique de confidentialité
Informations collectées et utilisées
* Vos informations client (email, mot de passe de votre compte client et éventuellement raison sociale, nom et prénom du contact, adresse, code postal, pays et numéro de TVA) sont conservées après la saisie de votre inscription. Ces informations nous permettent de facturer la prestation, si vous avez choisi l’offre payante.
* Si vous avez souscrit à l’offre payante, nous stockons également les informations suivantes : Votre mandat SEPA si vous avez choisi le paiement SEPA, les 4 derniers chiffres de votre carte si vous avez opté pour le paiement par carte. Les coordonnées complètes de votre carte bancaire, nécessaires au paiement par carte, ne sont pas stockées chez nous, mais chez notre prestataire de paiement Stripe (leader mondial du paiement en ligne). Nous n’en avons pas connaissance, chaque échantillon passe par une requête que nous envoyons à ce prestataire. Lorsque vous renseignez vos coordonnées bancaires, elles sont transmises directement à Stripe et ne sont donc pas stockées sur nos serveurs.
* Vous avez la possibilité de demander la suppression de votre compte et des informations ci-dessus à tout moment.
* Le contact de référence Politiques de confidentialité et RGPD pour nos services est : Délégué à la protection des données rgpd-dpo@glpi-network.cloud
Stockage et sauvegardes de données
* Le stockage des données collectées (voir ‘Informations collectées et utilisées’) se fait dans une base de données. Le mot de passe n’est pas stocké, mais pour permettre la validation de votre connexion à votre espace bind, nous stockons l’emprunt chiffré de ce mot de passe, généré par l’algorithme de chiffrement non réversible SHA256.
* Une fois que vous avez souscrit à l’offre payante, une sauvegarde est effectuée quotidiennement et stockée sur des disques de stockage indépendants hébergés par OVH en Europe (France). Seuls les 30 derniers jours sont conservés.
Sous-traitant
* Nos services s’appuient sur les sous-traitants et services suivants :
** L’hébergeur de serveurs informatiques, qui est OVH. Ces serveurs sont hébergés en Europe (France). Aucune information client n’est communiquée à ce sous-traitant qui ne fournit que la couche matérielle et réseau, l’installation et l’exploitation étant réalisées par nos soins directement.
** Le service de paiement en ligne Stripe, qui est utilisé, pour assurer le paiement régulier de l’abonnement. Lorsque vous remplissez vos coordonnées de carte de crédit, elles sont envoyées directement à Stripe lors de la saisie du numéro pour effectuer le paiement (cela signifie que nous ne connaissons jamais les données de votre carte de crédit. Stripe ne nous donne que les 4 derniers chiffres, ce qui nous permet de pouvoir identifier / analyser les problèmes de paiement). ** Le Sendgrid service de relais emailing, qui sert à relayer les notifications email de GLPI lorsque le mode “PHP” (par défaut) est utilisé et que vous ne spécifiez pas votre propre SMTP dans la configuration de GLPI.
Pare-feu
* Notre architecture GLPI Cloud est protégée d’Internet par le Réseau Firewall OVHCloud (qui s’occupe également de l’Anti-DDOS) avec des règles de sécurité strictes. Seuls les protocoles bien définis sont autorisés (HTTPS uniquement), tout le reste est bloqué avant même d’arriver sur les instances GLPI Cloud (qu’elles soient sur l’offre Publique ou Privée). Le pare-feu Linux est également activé sur chaque instance (pour protéger les instances à l’intérieur des réseaux OVHCloud), avec les mêmes restrictions protocolaires que sur les pare-feux amont. (Privé) Les accès HTTPS externes peuvent être filtrés sur des plages d’IPs publiques identifiées par le client.
Maintenance de systèmes
* L’accès maintenance des équipes TECLIB n’est possible qu’à partir d’un Bastion TECLIB SSH dédié. L’accès à ce bastion n’est possible qu’avec une connexion VPN authentifiée par un certificat nominatif, renouvelé chaque année et révoqué en cas de problème ou de départ d’un employé
* La maintenance des serveurs est réalisée et supervisée depuis l’outil Ubuntu Landscape, en lien avec notre outil d’inventaire dédié aux instances Cloud (GLPI, bien sûr) sur lequel nous réalisons des mesures d’impact, des alertes sur les versions, les espaces disques, les domaines, les certificats, le tracking changements / problèmes / incidents / etc.
Correctifs de sécurité (application GLPI)
* Dans le cadre de notre engagement à corriger les bugs, nous déployons des correctifs de sécurité sur les instances Cloud avant même que le code ne soit publié sur l’espace de développement communautaire (Github).
Outils de sécurité / supervision
* Nos installations respectent au minimum le niveau renforcé décrit dans le document “RECOMMANDATIONS DE SECURITÉ RELATIVES À UN SYSTÈME GNU/LINUX” édité par l’ANSSI : https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-un-systeme-gnulinux/ .
* Nous utilisons les outils suivants :
- rkhunter (antirootkit)
- afick (contrôleur d’intégrité des fichiers)
- AppArmor (profils de sécurité par application)
- fail2ban (prévention des intrusions, 404 anti-inondation, anti-discovery)
- ModSecurity (pare-feu applicatif web, module Apache)
- lynis (audit du respect des consignes de sécurité)
- fluentd (log collection)
- graylog (agrégation / log alertes)
- uptimerobot (sonde de disponibilité externe)
- datadog (suivi des ressources)
- healthchecks (cron surveillance)
- GLPI (inventaire / CMDB / projet / changement / incident / problème)
- mattermost (centralisation des notifications / chat d’équipe)
Protection des logiciels
* Nos services fonctionnent sur les systèmes et logiciels Linux Ubuntu. Ils bénéficient de mises à jour de sécurité régulières lorsque l’éditeur du système d’exploitation (Ubuntu Canonical) les publie.
* Nos services sont accessibles en HTTPS (chiffré HTTP) uniquement, chiffrés avec des certificats SHA256.
* Notre plateau technique est protégé par différents dispositifs à la pointe de la technologie en matière de sécurité informatique : FireWall, Banishing Tools, Système de détection d’utilisation de SPAM et Protection DOS, protection anti-injection de logiciels, anti-XSS sur les logiciels utilisés pour l’espace client et mis à la disposition des utilisateurs. Le test de ces composants logiciels se fait automatiquement via les outils PHP-Unit et Travis-CI.
Le vol des données
* En cas de suspicion de vol des données que nous avons collectées (voir premier point ‘Informations collectées et utilisées’), les clients seront informés par email, à l’email correspondant à leur compte client