Sus datos e información están seguros con TimeTonic

La seguridad y confidencialidad de tus datos es una prioridad para nosotros, por lo que nos esforzamos en implementar las tecnologías y estándares de seguridad más estrictos para ofrecerte un entorno fiable para que puedas utilizar TimeTonic con total confianza.

Alojamiento, fiabilidad y seguridad

Alojamiento

El alojamiento físico de nuestra infraestructura principal lo proporciona Equinix, el mayor centro de datos del mundo con más de 145 centros de datos en todo el mundo. Certificado por varias organizaciones (SSAE16, ISO, LEED, Uptime Institute), Equinix garantiza una tasa de disponibilidad media superior al 99,99999%.

Nuestra infraestructura está alojada en centros de datos situados en París, lo que permite una excelente conectividad en Europa y particularmente en Francia. 

Nuestros servidores se componen de hardware seleccionado por nuestro socio Alwaysdata, de las últimas generaciones de gamas profesionales de fabricantes de renombre (Intel, Western Digital, Supermicro).

Fiabilidad

Electricidad y aire acondicionado

  • Todos los equipos (hardware de red, servidores) son alimentados por dos cadenas eléctricas totalmente independientes;
  • Los inversores y generadores garantizan un suministro de energía ininterrumpido, incluso en el caso de una interrupción del FEDER del sitio durante varios días;
  • el aire acondicionado de las habitaciones es proporcionado por dos cadenas independientes, capaces de mantener la temperatura estable cualesquiera que sean las condiciones externas;
  • Todos los meses se realizan simulacros de averías eléctricas y de climatización para garantizar el buen funcionamiento de todos los equipos, incluidos los de emergencia.

Monitoreo

  • Todos nuestros servidores están supervisados por sondas internas y externas (situadas en muchos países), lo que nos permite ser alertados inmediatamente en caso de cualquier anomalía que no pueda ser corregida automáticamente por nuestras herramientas de supervisión;
  • los ingenieros están de guardia las 24 horas del día para intervenir a los pocos minutos de detectar una avería;
  • Los técnicos están presentes en nuestros centros de datos, las 24 horas del día, para realizar manipulaciones a petición de nuestros ingenieros.

Red

  • Nuestra conectividad es proporcionada por 4 operadores de red totalmente redundantes;
  • Todos nuestros equipos de red (conmutadores, enrutadores) funcionan en parejas, con hardware de 2 fabricantes diferentes, asegurando la continuidad del servicio en caso de fallo de hardware o software;
  • Cada servidor tiene una doble conexión de red con los conmutadores, con conmutación automática en caso de fallo.
  • todos los discos se replican en tiempo real (RAID) y pueden ser intercambiados sin interrupción (hot-swap) ;
  • El hardware de repuesto está disponible en el sitio para reemplazar inmediatamente cualquier parte defectuosa o incluso un servidor completo.

Seguridad

Física

El acceso a los centros de datos se hace de forma segura con :

  • reconocimiento biométrico ;
  • placas de identificación ;
  • equipos de seguridad.

Servidor

Todos nuestros servidores son..:

  • protegido por un cortafuegos, con un mecanismo de prohibición automático para los IPs que realizan ataques;
  • actualizado inmediatamente después de descubrir una importante brecha de seguridad.

Red

Nuestra red y todos nuestros servidores están protegidos de los ataques DDoS con una defensa de 4 niveles:

  • Cada servidor está configurado y optimizado para poder soportar ataques de tamaño medio sin intervención manual;
  • en caso de un ataque mayor, las protecciones anti-DDoS se activan automáticamente con nuestros proveedores de red, gracias a 2 implementaciones distintas y redundantes;
  • Para ataques aún más complejos, nuestros ingenieros pueden definir reglas de bloqueo personalizadas, coordinándose con los ingenieros de nuestros proveedores de red si es necesario;
  • en el caso de un hipotético ataque extremadamente masivo (varios cientos de Gb/s), se puede establecer una estrategia de reencaminamiento del DNS hacia un tercer proveedor y se somete a simulaciones regulares.

Copias de seguridad

Hacemos copias de seguridad de todos los datos de nuestros clientes:

  • sobre una base diaria;
  • ...guardado durante 30 días..;
  • directamente accesible para nuestros clientes en modo de sólo lectura;
  • almacenados en centros de datos externos, situados por lo menos a varios kilómetros de distancia, y gestionados por un operador independiente.

RGPD

Se han tomado todas las medidas necesarias para garantizar el pleno cumplimiento y para ayudarle a cumplir con el nivel de datos que recopila sobre sus clientes, empleados y socios.

Características y medidas específicas

  • Cifrado SSL de las comunicaciones
  • Acceso unidireccional protegido por contraseña con hashing / salting
  • Cifrado completo de los archivos de los clientes
  • Listado y centralización de datos
  • Control de acceso a los datos reservados
  • Gestión de derechos por columna
  • Posibilidad de borrar los datos
  • Posibilidad de portabilidad de datos
  • Historial de todos los cambios (cuando esta función es activada por el cliente)
  • Historial de apertura del libro de registro (cuando esta función es habilitada por el cliente)
  • Lista de subcontratistas
  • Verificación del cumplimiento de los subcontratistas
  • Notificación en caso de acceso a los datos
  • Oficial de Protección de Datos
  • Registro de la categoría de actividades realizadas en nombre del cliente
  • Disponibilidad de datos y capacidad de recuperación garantizadas
  • Pruebas semanales de recuperación completa de la base de datos de las copias de seguridad
  • Seudonimización completa de los datos para las pruebas en el mundo real en los servidores de preproducción
  • Procedimiento de prueba
  • Documentación
  • Copia de seguridad diaria automática funcionando durante 30 días
  • Copia de seguridad automática de múltiples sitios
  • Capacidad de permitir que los contactos vean y actualicen los datos con un solo clic
  • Capacidad de cifrar ciertas columnas de datos con una contraseña
  • Nuevo tipo de columna "cifrada" para proteger el contenido de la información sensible
  • El acceso a la administración está restringido a dos gerentes de TimeTonic (CEO, CTO)
  • Nuevo tipo de columna "contraseña" totalmente segura facilitando la creación de la extranet

Las características vienen pronto...

  • Posible pseudonimización de los datos
  • Historial de accesos de reproducción por grabación
  • Leer el historial de acceso por archivo
  • Historial de exportación por registro
  • Historial de exportación por tabla

Usted sigue teniendo el control de sus datos. TimeTonic sólo proporciona una herramienta para centralizar, administrar y proteger sus datos, y no puede tomar los pasos detallados por usted.

No accedemos a sus datos, no los conocemos y no damos acceso a sus datos a terceros, a menos que usted lo solicite expresamente y nos invite a hacerlo.

Más detalles en los Términos y Condiciones de TimeTonic.

FAQ

Seguridad de acceso a la información/datos

¿Qué medios de autentificación están disponibles para acceder a su servicio? 

Autenticación Sesskey para el acceso a la API (Zapier, Salesforce, Microsoft Navision, TimeTonic API interna)

Login / contraseña

Posibilidad de utilizar el single sign-on (SSO) de Google, que nos permitiría conectarnos a su servicio de forma segura y facilitar la autenticación de nuestros usuarios (identificador idéntico al del correo electrónico, etc.).

Preparamos un SSO vía OKTA a petición de un cliente. Todavía no somos compatibles con el SSO de Google, pero esto puede ser estudiado a petición, por supuesto.

Si no, puede describir las políticas de seguridad de las contraseñas de las cuentas de usuarios locales (complejidad, vida útil antes de la renovación, historial de contraseñas, etc.); también nos gustaría prohibir las cuentas anónimas;

La política de contraseñas para las cuentas gratuitas es gratuita. Para las cuentas corporativas, se requiere un mínimo de 6 caracteres, incluyendo 1 letra minúscula, 1 letra mayúscula y 1 número.

Las contraseñas son "hashed" y "salted" y por lo tanto están encriptadas y no pueden ser recuperadas sino sólo reemplazadas.

La vida útil de las contraseñas es de un año.

Las cuentas son nominativas

¿Se dispone de doble autenticación, o de autenticación fuerte, para las cuentas locales?

La doble autenticación aún no está disponible, pero está prevista para las cuentas empresariales en el cuarto trimestre de 2021.

¿Cuáles son los diferentes medios de acceso disponibles (vpn, nube pública, privada, híbrida, etc.)? ¿Todos los flujos utilizan algoritmos de encriptación fuertes para garantizar la confidencialidad de nuestros datos?

TimeTonic es una plataforma SaaS gestionada por Alwaysdata y alojada por Equinix en Francia.

El alojamiento dedicado es posible

Todos los flujos se realizan mediante una encriptación a nivel de banco ssl

¿Es un entorno compartido con otros clientes o una solución dedicada? ¿Qué medios se utilizan para garantizar la estanqueidad de los distintos entornos (virtualización, etc.)?

Los datos y el software están alojados en nuestros propios servidores y no se comparten con ninguna otra compañía.

Una gestión muy fina y estricta de los derechos de acceso prohíbe el acceso a los espacios de trabajo, columnas, líneas de datos tanto en el lado del cliente como en el del servidor.

¿Cómo funciona el acceso al servicio y a nuestros datos?

Los archivos de los clientes (pdf, word, correos electrónicos, etc.) son encriptados y almacenados en el disco en espacios no accesibles por http, sólo se genera un enlace, se guarda y se utiliza en la base de datos.

Los datos se gestionan por área de trabajo llamada "cuaderno". Cada cuaderno tiene sus propias bases de datos y el acceso al mismo se gestiona mediante una gestión de derechos específicos.

Es posible el acceso por usuario o grupo de usuarios, incluso por vista, fila, columna; por ejemplo, algunas personas pueden ver todos los datos pero no el historial de modificaciones, o bien otras pueden tener acceso de sólo lectura a una parte de los datos, acceso de sólo escritura a otra parte y ningún acceso a otra parte.

El acceso a los archivos se realiza a través de largas URL anónimas generadas y gestionadas en una base de datos y, por lo tanto, totalmente sin referencias y sin posibilidad de ser buscadas por los motores de búsqueda - por lo tanto, ningún archivo es directamente accesible.

Existendos tipos de URLs:
- Una que permite el libre acceso al propietario de la URL
- La otra que aún requiere un derecho de acceso válido a través de un login / contraseña de TimeTonic

¿Qué medios de seguridad de software y hardware se implementan para garantizar la confidencialidad, integridad, trazabilidad y disponibilidad de los datos (IPS/IDS, SOC, Gateway Antivirus, Supervisión, Log, etc.)?

El hardware y el mantenimiento operativo de los servidores de TimeTonic son gestionados por Alwaysdata y los servidores están alojados físicamente en los centros de datos de Equinix en Francia.

Por lo tanto, las certificaciones SOC 2, PCI DSS, SOC 1 Tipo 2 (SSAE 18 sustituye a SSAE 16) están presentes.
El acceso físico en el centro de datos está controlado por una estación de seguridad, luego por tarjetas magnéticas individuales y lectores biométricos.
Ver el vídeo

Utilizamos una herramienta de auditoría interna (OpenVAS) para escanear nuestros servidores en busca de vulnerabilidades y herramientas (por ejemplo, rkhunter) para comprobar diariamente la integridad de los archivos críticos.

La seguridad del almacenamiento, conservación y restitución de información/datos

¿Se almacenarán nuestros datos en un centro de datos seguro (norma ISO, clasificación del centro de datos en cuestión, etc.)? Si tienen varios centros de datos, ¿es posible elegir la ubicación de nuestros datos?

El hardware y el mantenimiento operativo de los servidores de TimeTonic son gestionados por Alwaysdata y los servidores están alojados físicamente en los centros de datos de Equinix en Francia.

Por lo tanto, las certificaciones SOC 2, PCI DSS, SOC 1 Tipo 2 (SSAE 18 sustituye a SSAE 16) están presentes.
El acceso físico en el centro de datos está controlado por una estación de seguridad, luego por tarjetas magnéticas individuales y lectores biométricos.
Ver el vídeo

No es posible elegir su centro de datos.

¿Los datos (almacenamiento, base de datos, etc.) están codificados?

Los archivos están encriptados

El acceso a las bases de datos de los usuarios por parte de otros usuarios es imposible (salvo en el caso de los datos compartidos por los propios usuarios que han invitado temporalmente a los miembros de apoyo de TimeTonic - ellos mismos bajo estrictas NDA - ) y sólo el CEO y el CTO de TimeTonic tienen las credenciales de administrador de los servidores que se modifican al menos dos veces al año. Incluso para el CEO y el CTO seguimos una estricta política de nunca acceder a los datos sin la autorización previa de los clientes.

¿Tiene una póliza de respaldo para enviarnos (plan de respaldo, vida útil, etc.)?

Se hace una copia de seguridad de 30 días de todas las bases de datos y archivos diariamente, y una copia de seguridad mensual que se mantiene durante 12 meses.

Los datos pertenecientes a los usuarios se conservan mientras las licencias estén activas y luego se archivan durante 1 año, a menos que se solicite la eliminación de una cuenta.

Los datos de identificación del usuario (nombre, inicio de sesión) se conservan durante el período de la licencia/cobro y se eliminan cuando se borra una cuenta con el pago final.

¿Cuántos niveles de copia de seguridad y restauración están disponibles (parcial, total, etc.)?

Las copias de seguridad son totales y se hacen diariamente a las 4 de la mañana con copias de las copias de seguridad en servidores separados.

La restauración puede ser total o parcial y se hace a petición.

TimeTonic también permite guardar el historial de todas las modificaciones realizadas por los usuarios (quién modificó qué, cuándo y cuál fue el valor anterior) lo que, además de una trazabilidad muy útil para entender los cambios realizados, permite, bajo demanda, volver atrás con un detalle muy fino sin perder los cambios realizados durante el día desde la última copia de seguridad diaria.

Los usuarios también tienen a su disposición directamente en la vista de hoja de cálculo un ctrl-z (deshacer) para los cambios realizados en el momento

¿Cuánto tiempo se tarda en restaurar una copia de seguridad anterior? ¿Esta restauración requiere su intervención? En este caso, ¿la restauración tiene un coste?

El catering se hace a pedido y toma entre 2h y 8h dependiendo del tipo de catering solicitado (excepto ctrl-z que restaura instantáneamente los datos anteriores)

Excepto el ctrl-z que puede ser hecho por los propios usuarios, la restauración requiere la intervención de TimeTonic.

La intervención se factura en función del tiempo empleado (en proporción al coste diario vigente, actualmente 950 euros/día).

¿Se prueban regularmente las copias de seguridad para garantizar su funcionamiento?

Cada semana se prueba una recuperación completa de datos

Continuidad y recuperación de desastres

¿Qué medios se han puesto en marcha para garantizar la continuidad de la actividad en caso de fallo del hardware o del software?

Los procedimientos completos de instalación de software se prueban aproximadamente 4 veces al año y las restauraciones completas de datos se prueban semanalmente.

Utilizamos el Reino Unido para probar el acceso al servicio cada minuto con sms y transmisión de correo electrónico a 3 personas en caso de indisponibilidad.

Utilizamos newrelic para medir los tiempos de respuesta y el número de solicitudes y consultas a la base de datos.

También utilizamos nuestras propias herramientas que nos envían un SMS en caso de error de acceso, acceso repetido no autorizado o solicitud de contraseña olvidada.

¿Existe un sitio secundario que permita la recuperación de desastres?

Alwaysdata maneja servidores a través de múltiples centros de datos Equinix y puede restaurar el servicio a otros servidores. También tenemos nuestros servidores de preproducción que pueden ser convertidos en servidores de producción en 8 horas.

¿Tiene un PCA/PRA escrito para enviarnos?

Los procedimientos no se comunican

¿Deposita las fuentes de sus solicitudes en un tercero de confianza?

Los códigos fuente de las solicitudes no están depositados actualmente, pero esto puede hacerse en el caso de contratos que justifiquen dicha solicitud.

Calidad del servicio

¿Cuál es la media de OTN en toda su infraestructura? ¿Y para el servicio en cuestión?

La máxima interrupción del servicio observada de 11 minutos en el último año

Tasa de disponibilidad observada superior al 99,95%.

¿Se proporciona un entorno de preproducción con el servicio?

Sí, cada cliente puede crear un número ilimitado de cuadernos, incluyendo la preproducción.

También tenemos nuestro propio servidor de preproducción.

¿Puede proporcionarnos los principales acuerdos de nivel de servicio para servicios como:
- Disponibilidad de la aplicación, entornos de producción y entornos no productivos;
- Rangos de disponibilidad de soporte, tiempo para resolver anomalías;

Soporte
- El soporte por correo electrónico y por teléfono se proporciona de lunes a viernes en horario de oficina (de 9:30 a 18:30 CET). Las llamadas de asistencia que tardan más de 15 minutos en procesarse se facturan por horas.
- Si se alcanzan más de 8 horas de asistencia de pago en un mes determinado, se envía una notificación al cliente preguntándole si debe continuar o no la asistencia.
- Las licencias de usuario profesional también pueden solicitar asistencia in situ actualmente en la región de París (Ile-de-France). La asistencia in situ fuera de la región de París (Île-de-France) conllevará gastos adicionales de negocio, desplazamiento y tramitación.

SLA
- Las licencias Pro incluyen la siguiente disponibilidad de servicio (acceso en línea)
- Tiempo de respuesta garantizado (GRT): 60mn (durante el horario de asistencia)
- GST (Tiempo de reparación de acceso al servicio garantizado): 2h (durante el horario de asistencia)
- Disponibilidad de servicio mensual garantizada: 99,5% (durante el horario de asistencia)
- El tiempo de reparación de errores no está garantizado, pero, por supuesto, haremos todos los esfuerzos comercialmente razonables para solucionarlos.

¿Cómo se hacen las actualizaciones?

Especificaciones, pruebas en las estaciones de trabajo de los desarrolladores, pruebas de unidad, pruebas funcionales, fusión con el maestro, pruebas en el servidor pre-prod, lanzamiento de producción en el servidor prod y pruebas completas después de las 6pm, un clic atrás si es necesario.

Continuidad del servicio RPO, RTO

Contacte con Alwaysdata en caso de problemas de acceso general. Alwaysdata tiene un excelente servicio disponible también en caso de emergencia.

Acceso directo por el CEO/CTO para el análisis del registro / versionado / desmantelamiento de la base de datos

La reversibilidad de nuestros datos

¿Cuenta con procesos y procedimientos para garantizar la reversibilidad de los datos?

Sí, ver arriba

¿Qué tipo de apoyo ofrece a sus clientes?

Formación administrativa para poder crear o gestionar sus propias aplicaciones / procesos de negocio en total autonomía,

Servicios profesionales para ayudar en el diseño y la creación de aplicaciones / procesos de negocio

Formación / documentación para los usuarios

Soporte in situ o remoto

Ayuda para la importación de datos

Ayuda para la exportación / recuperación de datos

Desarrollos específicos

Interfaces con sus herramientas existentes (ya hemos creado interfaces con MS Navision, Office, Google, Dropbox y Salesforce en particular)

¿En qué formato se devuelven los datos?

Exportar csv / xml para datos,ZIP para archivos

¿Hay algún costo por la recuperación de datos?

Sí, la intervención se factura por tiempo (a prorrata del coste diario vigente, actualmente 950 euros/día).

Nos gustaría realizar pruebas de reversibilidad periódicas (2-4 veces al año), ¿cuál es su posición?

Es posible.

Cumplimiento

¿Cumple con los requisitos del Reglamento Europeo de Protección de Datos (DPMR)?

Sí, véase arriba

¿El almacenamiento de datos está en la zona de la UE?

Sí, en Francia

¿Qué compromisos adquiere sobre la propiedad y el uso de los datos?

Todos sus datos le pertenecen y nadie más tiene acceso a ellos a menos que usted lo solicite específicamente o pida justicia.

Puede solicitar la devolución de sus datos y la destrucción de todos sus datos en cualquier momento.