Política de Privacidade
Informações coletadas e utilizadas
* Suas informações de cliente (e-mail, senha de sua conta de cliente, e possivelmente nome comercial, primeiro e último nome de contato, endereço, código postal, país e número de IVA) são armazenadas após a entrada de seu registro. Estas informações nos permitem cobrar o serviço, caso você tenha escolhido a oferta paga.
* Se você subscreveu a oferta paga, também armazenamos as seguintes informações: Seu mandato SEPA se você escolheu o pagamento SEPA, os últimos 4 dígitos de seu cartão se você optou pelo pagamento com cartão. Os detalhes completos de seu cartão de crédito, necessários para pagamento por cartão, não são armazenados por nós, mas em nosso provedor de pagamento Stripe (o líder mundial em pagamento on-line). Não temos conhecimento disso, cada amostra passa por um pedido que enviamos a este fornecedor. Quando você preenche seus dados bancários, eles são enviados diretamente para Stripe e, portanto, não são armazenados em nossos servidores.
* Você tem a opção de solicitar a exclusão de sua conta e das informações acima a qualquer momento.
* A política de privacidade e o contato de referência da GDPR para nossos serviços é: Responsável pela proteção de dados rgpd-dpo@glpi-network.cloud
Armazenamento de dados e Backups
* O armazenamento dos dados coletados (ver “Informações coletadas e utilizadas”) é feito em um banco de dados. A senha não é armazenada, mas para permitir a validação de sua conexão ao seu espaço de encriptação, armazenamos o empréstimo criptografado desta senha, gerado pelo algoritmo de criptografia não reversível SHA256.
* Uma vez subscrita a oferta paga, um backup é feito diariamente e armazenado em discos de armazenamento independentes hospedados por OVH na Europa (França) Apenas os últimos 30 dias são mantidos.
Subempreiteiro
* Nossos serviços dependem dos seguintes subcontratados e serviços:
** O anfitrião dos servidores de computador, que é OVH. Estes servidores estão hospedados na Europa (França). Nenhuma informação do cliente é comunicada a este subcontratado que apenas fornece o hardware e a camada de rede, sendo a instalação e operação realizada por nós diretamente.
** O serviço de pagamento on-line Stripe, que é utilizado, para garantir o pagamento regular da assinatura. Quando você preenche seus dados de cartão de crédito, eles são enviados diretamente para Stripe ao digitar o número para fazer o pagamento (isso significa que nunca sabemos os dados de seu cartão de crédito. O Stripe nos dá apenas os últimos 4 dígitos, o que nos permite identificar/analisar problemas de pagamento). ** O Sendgrid serviço de retransmissão de e-mails, que é usado para retransmitir notificações de e-mail GLPI quando o modo “PHP” (por padrão) é usado e você não especifica seu próprio SMTP na configuração GLPI.
Firewall
* Nossa arquitetura GLPI Cloud é protegida da Internet pela OVHCloud Firewall Network (que também cuida do Anti-DDOS) com rigorosas regras de segurança. Somente protocolos bem definidos são permitidos (somente HTTPS), todo o resto é bloqueado mesmo antes de chegar nas instâncias do GLPI Cloud (quer estejam na oferta Pública ou Privada). O firewall Linux também é ativado em cada instância (para proteger instâncias dentro das redes OVHCloud), com as mesmas restrições de protocolo que nas firewalls a montante. (Particular) O acesso HTTPS externo pode ser filtrado em faixas IP públicas identificadas pelo cliente.
Manutenção de sistemas
* O acesso para manutenção das equipes TECLIB só é possível a partir de um bastião dedicado TECLIB SSH. O acesso a este bastião só é possível com uma conexão VPN autenticada por um certificado nominativo, renovado a cada ano e revogado em caso de problema ou saída de um funcionário
* A manutenção do servidor é realizada e supervisionada a partir da ferramenta Ubuntu Landscape, em linha com nossa ferramenta de inventário dedicada às instâncias de Cloud (GLPI, é claro) nas quais realizamos medições de impacto, alertas sobre versões, espaços em disco, domínios, certificados, rastreamento de mudanças / problemas / incidentes / etc.
Correções de segurança (aplicação GLPI)
* Como parte de nosso compromisso de correção de erros, implantamos patches de segurança em instâncias de Cloud mesmo antes do código ser publicado no espaço de desenvolvimento comunitário (Github).
Ferramentas de segurança / supervisão
* Nossas instalações atendem pelo menos ao nível reforçado descrito no documento “SECURITY RECOMMENDATIONS RELATING TO A GNU / LINUX SYSTEM” publicado pela ANSSI: https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-un-systeme-gnulinux/ .
* Utilizamos as seguintes ferramentas:
- rkhunter (antirootkit)
- afick (controlador de integridade de arquivo)
- AppArmor (perfis de segurança por aplicação)
- fail2ban (prevenção de intrusão, 404 anti-inundação, anti-descoberta)
- ModSecurity (firewall de aplicação web, módulo Apache)
- lynis (auditoria do cumprimento das instruções de segurança)
- fluentd (coleta de toras)
- graylog (agregação / alertas de log)
- uptimerobot (sonda de disponibilidade externa)
- datadog (monitoramento dos recursos)
- healthchecks (monitoramento de cron)
- GLPI (inventário / CMDB / projeto / mudança / incidente / problema)
- mattermost (centralização de notificações / bate-papo em equipe)
Proteção de software
* Nossos serviços são executados em sistemas e software Linux Ubuntu. Eles se beneficiam de atualizações regulares de segurança quando o editor do sistema operacional (Ubuntu Canonical) os publica.
* Nossos serviços são acessíveis somente em HTTPS (criptografados por HTTP), criptografados com certificados SHA256.
* Nossa plataforma técnica é protegida por vários dispositivos de última geração em termos de segurança informática: FireWall, Banishing Tools, Sistema de detecção de uso de SPAM e proteção DOS, proteção de software anti-injeção, anti-XSS em software usado para a área do cliente e fornecido aos usuários. O teste destes componentes de software é feito automaticamente através das ferramentas PHP-Unit e Travis-CI.
Roubo de dados
* Em caso de suspeita de roubo dos dados que coletamos (ver primeiro ponto “Informações coletadas e utilizadas”), os clientes serão informados por e-mail, no e-mail correspondente à sua conta de cliente