Tus datos e información están seguros con TimeTonic

La seguridad y privacidad de tus datos es una prioridad para nosotros, por lo que nos esforzamos en implementar las más altas tecnologías y estándares de seguridad para garantizar un entorno fiable para que puedas utilizar TimeTonic con total confianza.

Alojamiento, fiabilidad y seguridad

Hospedaje

El alojamiento físico de nuestra infraestructura principal lo proporciona Equinix, el principal proveedor mundial de centros de datos con más de 145 centros de datos en todo el mundo. Certificado por varias organizaciones (SSAE16, ISO, LEED, Uptime Institute), Equinix garantiza una tasa de disponibilidad media superior al 99,99999%.

Nuestra infraestructura está alojada en centros de datos situados en París, lo que permite una excelente conectividad en Europa y, en particular, en Francia.

Nuestros servidores se componen de hardware seleccionado por nuestro socio Alwaysdata, de las últimas generaciones de gamas profesionales de fabricantes de renombre (Intel, Western Digital, Supermicro)

Fiabilidad

Electricidad y aire acondicionado

  • Todos los equipos (hardware de red, servidores) están alimentados por dos cadenas eléctricas totalmente independientes;
  • Los inversores y los generadores garantizan un suministro de energía ininterrumpido, incluso en caso de que el FEDER deje de funcionar durante varios días;
  • La climatización de las habitaciones corre a cargo de dos cadenas independientes, capaces de mantener una temperatura estable sean cuales sean las condiciones exteriores;
  • Todos los meses se realizan simulacros de averías eléctricas y de climatización para garantizar el buen funcionamiento de todos los equipos, incluidos los de emergencia.

Monitorización

  • Todos nuestros servidores están supervisados por sondas internas y externas (situadas en muchos países), lo que nos permite ser alertados inmediatamente en caso de cualquier anomalía que no pueda ser corregida automáticamente por nuestras herramientas de supervisión;
  • Los ingenieros están de guardia las 24 horas del día para intervenir a los pocos minutos de detectar una avería;
  • Los técnicos están presentes en nuestros centros de datos, las 24 horas del día, para realizar manipulaciones a petición de nuestros ingenieros.

Red

  • Nuestra conectividad es proporcionada por 4 operadores de red totalmente redundantes;
  • Todos nuestros equipos de red (conmutadores, routers) funcionan por parejas, con hardware de 2 fabricantes diferentes, lo que garantiza la continuidad del servicio en caso de fallo de hardware o software;
  • Cada servidor tiene una conexión de red doble con los conmutadores, con conmutación automática en caso de fallo.
  • Todos los discos se duplican en tiempo real (RAID) y pueden intercambiarse sin interrupción (hot-swap) ;
  • El hardware de repuesto está disponible in situ para sustituir inmediatamente cualquier pieza defectuosa o incluso un servidor completo.

Seguridad

Física

El acceso a los centros de datos se realiza de forma segura con :

  • Reconocimiento biométrico ;
  • Placas de identificación ;
  • Equipos de seguridad.

Servidor

Todos nuestros servidores son :

  • Protegido por un cortafuegos, con un mecanismo de prohibición automática de IPs que realizan ataques ;
  • Se actualiza inmediatamente después de descubrirse un fallo de seguridad importante.

Red

Nuestra red y todos nuestros servidores están protegidos de los ataques DDoS gracias a una defensa de 4 niveles:

  • Cada servidor está configurado y optimizado para poder soportar ataques de tamaño medio sin intervención manual;
  • En caso de un ataque mayor, las protecciones anti-DDoS se activan automáticamente con nuestros proveedores de red, gracias a 2 implementaciones distintas y redundantes;
  • Para ataques aún más complejos, nuestros ingenieros pueden definir reglas de bloqueo personalizadas, en coordinación con los ingenieros de nuestros proveedores de red si es necesario;
  • En caso de un hipotético ataque extremadamente masivo (varios centenares de Gb/s), se puede establecer una estrategia de desvío de DNS hacia un tercer proveedor, que se simula regularmente.

Copias de seguridad

Hacemos copias de seguridad de todos los datos de nuestros clientes:

  • a diario;
  • conservado durante 30 días ;
  • directamente accesible por nuestros clientes en modo de sólo lectura;
  • almacenados en centros de datos externos, situados al menos a varios kilómetros de distancia, y gestionados por un operador independiente.

GDPR

Todas las medidas se toman para garantizar el pleno cumplimiento y para ayudarle a cumplir con el nivel de datos que recoge sobre sus clientes, empleados y socios.

Características y medidas específicas

  • Encriptación SSL de las comunicaciones
  • Acceso protegido por contraseña en un solo sentido con hashing / salting
  • Encriptación completa de los archivos de los clientes
  • Listado y centralización de datos
  • Control de acceso a los datos reservados
  • Gestión de derechos por columna
  • Posibilidad de borrar los datos
  • Posibilidad de portabilidad de datos
  • Historial de todos los cambios (cuando esta función es activada por el cliente)
  • Historial de apertura del libro de registro (cuando el cliente habilita esta función)
  • Lista de subcontratistas
  • Verificación del cumplimiento de los subcontratistas
  • Notificación en caso de acceso a los datos
  • Responsable de la protección de datos
  • Registro de la categoría de actividades realizadas en nombre del cliente
  • Disponibilidad y resistencia de los datos garantizada
  • Pruebas semanales de recuperación completa de bases de datos a partir de copias de seguridad
  • Pseudonimización completa de los datos para pruebas en el mundo real en servidores de preproducción
  • Procedimiento de prueba
  • Documentación
  • Copia de seguridad diaria automática durante 30 días
  • Copia de seguridad automática en varios sitios
  • Posibilidad de permitir a los contactos ver y actualizar los datos con un solo clic
  • Posibilidad de cifrar determinadas columnas de datos con una contraseña
  • Nuevo tipo de columna "encriptada" para proteger el contenido de la información sensible
  • Acceso administrativo restringido sólo a 2 gerentes de TimeTonic (CEO, CTO)
  • Nuevo tipo de columna "contraseña" totalmente segura que facilita la creación de la extranet

Funciones previstas para un futuro próximo

  • Posible seudonimización de los datos
  • Historial de accesos a la reproducción por grabación
  • Historial de accesos de lectura por archivo
  • Exportar el historial por registro
  • Historial de exportación por tabla

Usted sigue teniendo el control de sus datos. TimeTonic solo proporciona una herramienta para centralizarlos, gestionarlos y protegerlos, y no puede tomar medidas detalladas en tu nombre.

No accedemos a sus datos, no conocemos sus datos y no damos ningún acceso a sus datos a terceros, a menos que usted lo solicite expresamente y nos invite a hacerlo.

Para más detalles, consulte las condiciones de uso de TimeTonic.

PREGUNTAS FRECUENTES

Seguridad de acceso a la información/datos

¿Qué medios de autentificación están disponibles para acceder a su servicio?

Autenticación Sesskey para el acceso a la API (Zapier, Salesforce, Microsoft Navision, API interna de TimeTonic)

Login / Contraseña

Posibilidad de utilizar el inicio de sesión único de Google (SSO), que nos permitiría conectarnos a su servicio de forma segura y facilitar la autenticación de nuestros usuarios (inicio de sesión idéntico al del correo electrónico, etc.)

Preparamos un SSO a través de OKTA a petición de un cliente. Todavía no somos compatibles con Google SSO, pero esto se puede estudiar a petición, por supuesto.

Si no es así, ¿puede describir las políticas de seguridad de las contraseñas para las cuentas de usuarios locales (complejidad, duración antes de la renovación, historial de contraseñas, etc.); también nos gustaría prohibir las cuentas anónimas?

La política de contraseñas para las cuentas gratuitas es libre. Para las cuentas corporativas, se requiere un mínimo de 6 caracteres, incluyendo 1 letra minúscula, 1 letra mayúscula y 1 número.

Las contraseñas tienen hash y sal, por lo que están encriptadas y no pueden recuperarse, sino sólo sustituirse.

La duración de las contraseñas es de 1 año.

Las cuentas son nominativas

¿Está disponible la doble autenticación, o la autenticación fuerte, para las cuentas locales?

La doble autenticación aún no está disponible, pero está prevista para las cuentas empresariales en el cuarto trimestre de 2021.

¿Cuáles son los diferentes medios de acceso disponibles (vpn, nube pública, privada, híbrida, etc.)? Utilizan todos los flujos algoritmos de encriptación fuertes para garantizar la confidencialidad de nuestros datos?

TimeTonic es una plataforma SaaS gestionada por Alwaysdata y alojada por Equinix en Francia.

El alojamiento dedicado es posible

Todos los flujos se realizan a través de encriptación bancaria ssl

¿Se trata de un entorno compartido con otros clientes o de una solución dedicada? ¿Qué medios se utilizan para garantizar la estanqueidad de los distintos entornos (virtualización, etc.)?

Los datos y el software se alojan en nuestros propios servidores y no se comparten con ninguna otra empresa.

Una gestión muy fina y estricta de los derechos de acceso prohíbe el acceso a los espacios de trabajo, las columnas y las líneas de datos tanto en el lado del cliente como del servidor.

¿Cómo funciona el acceso al servicio y a nuestros datos?

Los archivos de los clientes (pdf, word, correos electrónicos, etc.) son encriptados y almacenados en el disco en espacios no accesibles en http, sólo se genera un enlace que se guarda y se utiliza como base de datos.

Los datos se gestionan por área de trabajo denominada "cuaderno". Cada cuaderno tiene sus propias bases de datos y el acceso al cuaderno se gestiona mediante una gestión de derechos específica.

El acceso por usuario o grupo de usuarios es posible, incluso por vista, por fila, por columna - por ejemplo, algunas personas pueden ver todos los datos pero no el historial de modificaciones, u otras pueden tener acceso de sólo lectura a una parte de los datos, acceso de escritura a otra parte, y ningún acceso a otra parte.

El acceso a los archivos se realiza a través de largas URLs anónimas generadas y gestionadas en una base de datos y, por tanto, sin referencias ni búsquedas por parte de los motores de búsqueda - ningún archivo es, por tanto, directamente accesible.

Existen dos tipos de URLs:
- Una que permite el libre acceso al propietario de la URL
- La otra que requiere siempre un derecho de acceso válido a través del login/contraseña de TimeTonic

¿Qué medios de software y hardware de seguridad se implementan para garantizar la confidencialidad, integridad, trazabilidad y disponibilidad de los datos (IPS/IDS, SOC, Gateway Antivirus, Supervisión, Log, etc.)?

El hardware y el mantenimiento operativo de los servidores de TimeTonic son gestionados por Alwaysdata y los servidores están alojados físicamente en los centros de datos de Equinix en Francia.

Por lo tanto, las certificaciones SOC 2, PCI DSS, SOC 1 Tipo 2 (SSAE 18 sustituye a SSAE 16) están presentes.

Los accesos físicos en el centro de datos están controlados por una estación de seguridad y, a continuación, por lectores individuales de tarjetas magnéticas y biométricas.
Ver el vídeo

Utilizamos internamente una herramienta de auditoría (OpenVAS) para escanear nuestros servidores en busca de vulnerabilidades y herramientas (por ejemplo, rkhunter) para comprobar diariamente la integridad de los archivos críticos.

Seguridad de almacenamiento, conservación y restitución de la información/datos

¿Se almacenarán nuestros datos en un centro de datos seguro (norma ISO, clasificación del centro de datos en cuestión, etc.)? Si tienen varios centros de datos, ¿es posible elegir la ubicación de nuestros datos?

El hardware y el mantenimiento operativo de los servidores de TimeTonic están gestionados por Alwaysdata y los servidores están alojados físicamente en los centros de datos de Equinix en Francia.
Por lo tanto, se cuenta con las certificaciones SOC 2, PCI DSS, SOC 1 Tipo 2 (SSAE 18 sustituye a SSAE 16).
Los accesos físicos en el centro de datos están controlados por una estación de seguridad y luego por lectores individuales de tarjetas magnéticas y biométricas.
Watch vidéo

No es posible elegir el centro de datos.

¿Están cifrados los datos (almacenamiento, base de datos, etc.)?

Los archivos están encriptados

El acceso a las bases de datos de los usuarios por parte de otros usuarios es imposible (a excepción de los datos compartidos por los propios usuarios que han invitado temporalmente a los miembros de soporte de TimeTonic -ellos mismos bajo estrictos NDAs-) y sólo el CEO y el CTO de TimeTonic tienen las credenciales de administrador de los servidores que se modifican al menos dos veces al año. Incluso para el CEO y el CTO seguimos una estricta política de no acceder nunca a los datos sin autorización previa de los clientes.

¿Tienen una política de copias de seguridad para enviarnos (plan de copias de seguridad, vida útil, etc.)?

Diariamente se realiza una copia de seguridad continua de 30 días de todas las bases de datos y archivos, y se realiza una copia de seguridad mensual que se conserva durante 12 meses.

Los datos de los usuarios se conservan mientras las licencias estén activas y luego se archivan durante 1 año, a menos que se solicite la eliminación de una cuenta.

Los datos de identificación del usuario (nombre, nombre de usuario) se conservan durante el periodo de licencia/cobro y se eliminan cuando se borra una cuenta con el pago final.

¿Cuántos niveles de copia de seguridad y restauración hay disponibles (parcial, completa, etc.)?

Las copias de seguridad son totales y se realizan diariamente a las 4 de la mañana con copias de seguridad en servidores separados.

La restauración puede ser total o parcial y se realiza bajo petición.

TimeTonic también permite guardar el historial de todas las modificaciones realizadas por los usuarios (quién modificó qué, cuándo y cuál era el valor anterior) lo que, además de una trazabilidad muy útil para entender los cambios realizados, permite, bajo demanda, volver atrás de forma muy fina sin perder los cambios realizados durante el día desde la última copia de seguridad diaria.

Los usuarios también pueden utilizar la tecla ctrl-z (deshacer) directamente en la vista de hoja de cálculo para los cambios realizados en el momento

¿Cuánto tiempo se tarda en restaurar una copia de seguridad anterior? ¿Esta restauración requiere su intervención? En este caso concreto, ¿tiene un coste la restauración?

La copia de seguridad se realiza bajo demanda y tarda entre 2h y 8h dependiendo del tipo de restauración solicitada (excepto ctrl-z que restaura instantáneamente los datos anteriores)

Salvo el ctrl-z que puede ser realizado por los propios usuarios, la restauración requiere la intervención de TimeTonic.

La intervención se factura en función del tiempo empleado (en proporción al coste diario vigente, actualmente 950€/día).

¿Se prueban regularmente las copias de seguridad para garantizar su funcionamiento?

Una recuperación de datos completa se prueba cada semana

Continuidad y recuperación de desastres

¿Qué medios se han puesto en marcha para garantizar la continuidad de la actividad en caso de fallo de hardware o software?

Los procedimientos completos de instalación de software se prueban aproximadamente 4 veces al año y las restauraciones completas de datos se prueban semanalmente.

Utilizamos pingdom para probar el acceso al servicio cada minuto con la transmisión de sms y correo electrónico a 3 personas en caso de indisponibilidad.

Utilizamos newrelic para medir los tiempos de respuesta y el número de consultas a la aplicación y a la base de datos.

También utilizamos herramientas propias que nos envían un SMS en caso de error de acceso, acceso repetido no autorizado o solicitud de olvido de contraseña.

¿Existe un sitio secundario que permita la recuperación de desastres?

Alwaysdata gestiona servidores en varios centros de datos de Equinix y puede restaurar el servicio a otros servidores. También tenemos nuestros servidores de preproducción que pueden convertirse en servidores de producción en 8 horas.

¿Tiene un PCA/PRA por escrito para enviarnos?

Los procedimientos no se comunican

¿Depende las fuentes de sus aplicaciones de un tercero de confianza?

Actualmente no se depositan los códigos fuente de las aplicaciones, pero esto se puede poner en marcha para los contratos que justifiquen dicha solicitud.

Calidad del servicio

¿Cuál es la media de OTN en toda su infraestructura? ¿Y para el servicio en cuestión?

Máxima interrupción del servicio observada de 11 minutos en el último año

Tasa de disponibilidad observada superior al 99,95%.

¿Se proporciona un entorno de preproducción con el servicio?

Sí, cada cliente puede crear un número ilimitado de cuadernos, incluso de preproducción.

También tenemos nuestro propio servidor de preproducción.

¿Puede facilitarnos los principales SLA de los servicios, incluyendo
- Disponibilidad de la aplicación, de los entornos de producción y de los entornos de no producción;
- Rangos de disponibilidad del soporte, tiempo de resolución de anomalías;

SLA
- Las licencias Pro incluyen la siguiente disponibilidad de servicio (acceso en línea)
- Tiempo de respuesta garantizado (GRT): 60mn (durante el horario de asistencia)
- GST (Tiempo de reparación de servicio garantizado): 2h (durante el horario de asistencia)
- Disponibilidad de servicio mensual garantizada: 99,5% (durante el horario de asistencia)
- El tiempo de reparación de errores no está garantizado, pero por supuesto haremos todos los esfuerzos comerciales razonables para solucionar los errores.

Soporte
- El soporte telefónico y por correo electrónico se proporciona de lunes a viernes en horario laboral (de 9:30 a 18:30). Las llamadas de soporte que tardan más de 15 minutos en procesarse se cobran por horas.
- Si se alcanzan más de 8 horas de soporte pagado en un mes determinado, se envía una notificación al cliente preguntando si el soporte debe continuar o no.
- Las licencias de usuario profesional también pueden solicitar soporte in situ actualmente en el área de París. La asistencia in situ fuera de la zona de París conllevará costes comerciales, de desplazamiento y de tramitación adicionales.

¿Cómo se hacen las actualizaciones?

Especificaciones, pruebas en los puestos de trabajo de los desarrolladores, pruebas unitarias, pruebas funcionales, fusión con el maestro, pruebas en el servidor de preproducción, liberación en el servidor de producción y pruebas completas después de las 6 de la tarde, un clic hacia atrás si es necesario.

Continuidad del servicio RPO, RTO

Póngase en contacto con Alwaysdata en caso de problemas generales de acceso. Alwaysdata tiene un excelente servicio disponible también en caso de emergencia.

Acceso directo por parte del CEO/CTO para el análisis de registros/reinstalación de versiones anteriores/base de datos

Reversibilidad de nuestros datos

¿Dispone de procesos y procedimientos para garantizar la reversibilidad de los datos?

Sí, ver arriba

¿Qué apoyo ofrece a sus clientes?

Formación administrativa para poder crear o gestionar sus propias aplicaciones/procesos empresariales con total autonomía,

Servicios profesionales para ayudar en el diseño y la creación de aplicaciones/procesos empresariales

Formación / documentación para los usuarios

Asistencia in situ o a distancia

Ayuda a la importación de datos

Ayuda a la exportación / restitución de datos

Desarrollos específicos

Interfaces con sus herramientas existentes (ya hemos creado interfaces con MS Navision, Office, Google, Dropbox y Salesforce en particular)

¿En qué formato se devuelven los datos?

Exportar csv / xml para los datos, ZIP para los archivos

¿Tiene algún coste la recuperación de datos?

Sí, la intervención se factura por tiempo (en proporción al coste diario en vigor, actualmente 950€ / día).

Nos gustaría realizar pruebas de reversibilidad periódicas (2-4 veces al año), ¿cuál es su posición?

Es posible

Cumplimiento

¿Cumple con los requisitos del Reglamento Europeo de Protección de Datos (GDPR)?

Sí, ver arriba

¿Está el almacenamiento de datos en la zona de la UE?

Sí, en Francia

¿Qué compromisos adquiere sobre la propiedad y el uso de los datos?

Todos tus datos te pertenecen y nadie más tiene acceso a ellos a menos que lo solicites expresamente o que lo pidas a la justicia

Puede solicitar la devolución de sus datos y la destrucción de todos ellos en cualquier momento