Seguridad - GDPR

Alojamiento, fiabilidad y seguridad

Hospedaje

El alojamiento físico de nuestra infraestructura principal lo proporciona Equinix, el principal proveedor mundial de centros de datos con más de 145 centros de datos en todo el mundo. Certificado por varias organizaciones (SSAE16, ISO, LEED, Uptime Institute), Equinix garantiza una tasa de disponibilidad media superior al 99,99999%.

Nuestra infraestructura está alojada en centros de datos situados en París, lo que permite una excelente conectividad en Europa y, en particular, en Francia.

Nuestros servidores se componen de hardware seleccionado por nuestro socio Alwaysdata, a partir de las últimas generaciones de gamas profesionales de fabricantes de renombre (Intel, Western Digital, Supermicro

Fiabilidad

Electricidad y aire acondicionado

Todos los equipos (hardware de red, servidores) están alimentados por dos cadenas eléctricas totalmente independientes;
Los inversores y los generadores garantizan un suministro de energía ininterrumpido, incluso en caso de que el FEDER deje de funcionar durante varios días;
La climatización de las habitaciones corre a cargo de dos cadenas independientes, capaces de mantener una temperatura estable sean cuales sean las condiciones exteriores;
Todos los meses se realizan simulacros de averías eléctricas y de climatización para garantizar el buen funcionamiento de todos los equipos, incluidos los de emergencia.

Monitorización

Todos nuestros servidores están supervisados por sondas internas y externas (situadas en muchos países), lo que nos permite ser alertados inmediatamente en caso de cualquier anomalía que no pueda ser corregida automáticamente por nuestras herramientas de supervisión;
Los ingenieros están de guardia las 24 horas del día para intervenir a los pocos minutos de detectar una avería;
Los técnicos están presentes en nuestros centros de datos, las 24 horas del día, para realizar manipulaciones a petición de nuestros ingenieros.

Red

Nuestra conectividad es proporcionada por 4 operadores de red totalmente redundantes;
Todos nuestros equipos de red (conmutadores, routers) funcionan por parejas, con hardware de 2 fabricantes diferentes, lo que garantiza la continuidad del servicio en caso de fallo de hardware o software;
Cada servidor tiene una conexión de red doble con los conmutadores, con conmutación automática en caso de fallo.
Todos los discos se duplican en tiempo real (RAID) y pueden intercambiarse sin interrupción (hot-swap) ;
El hardware de repuesto está disponible in situ para sustituir inmediatamente cualquier pieza defectuosa o incluso un servidor completo.

Seguridad

Física

El acceso a los centros de datos se realiza de forma segura con :

Reconocimiento biométrico ;
Placas de identificación ;
Equipos de seguridad.

Servidor

Todos nuestros servidores son :

Protegido por un cortafuegos, con un mecanismo de prohibición automática de IPs que realizan ataques ;
Se actualiza inmediatamente después de descubrirse un fallo de seguridad importante.

Red

Nuestra red y todos nuestros servidores están protegidos de los ataques DDoS gracias a una defensa de 4 niveles:

Cada servidor está configurado y optimizado para poder soportar ataques de tamaño medio sin intervención manual;
En caso de un ataque mayor, las protecciones anti-DDoS se activan automáticamente con nuestros proveedores de red, gracias a 2 implementaciones distintas y redundantes;
Para ataques aún más complejos, nuestros ingenieros pueden definir reglas de bloqueo personalizadas, en coordinación con los ingenieros de nuestros proveedores de red si es necesario;
En caso de un hipotético ataque extremadamente masivo (varios centenares de Gb/s), se puede establecer una estrategia de desvío de DNS hacia un tercer proveedor, que se simula regularmente.

Copias de seguridad

Hacemos copias de seguridad de todos los datos de nuestros clientes:

a diario;
conservado durante 30 días ;
directamente accesible por nuestros clientes en modo de sólo lectura;
almacenados en centros de datos externos, situados al menos a varios kilómetros de distancia, y gestionados por un operador independiente.

GDPR

Todas las medidas se toman para garantizar el pleno cumplimiento y para ayudarle a cumplir con el nivel de datos que recoge sobre sus clientes, empleados y socios.

Características y medidas específicas

Encriptación SSL de las comunicaciones
Acceso protegido por contraseña en un solo sentido con hashing / salting
Encriptación completa de los archivos de los clientes
Listado y centralización de datos
Control de acceso a los datos reservados
Gestión de derechos por columna
Posibilidad de borrar los datos
Posibilidad de portabilidad de datos
Historial de todos los cambios (cuando esta función es activada por el cliente)
Historial de apertura del libro de registro (cuando el cliente habilita esta función)
Lista de subcontratistas
Verificación del cumplimiento de los subcontratistas
Notificación en caso de acceso a los datos
Responsable de la protección de datos
Registro de la categoría de actividades realizadas en nombre del cliente
Disponibilidad y resistencia de los datos garantizada
Pruebas semanales de recuperación completa de bases de datos a partir de copias de seguridad
Pseudonimización completa de los datos para pruebas en el mundo real en servidores de preproducción
Procedimiento de prueba
Documentación
Copia de seguridad diaria automática durante 30 días
Copia de seguridad automática en varios sitios
Posibilidad de permitir a los contactos ver y actualizar los datos con un solo clic
Posibilidad de cifrar determinadas columnas de datos con una contraseña
Nuevo tipo de columna "encriptada" para proteger el contenido de la información sensible
Acceso administrativo restringido sólo a 2 gerentes de TimeTonic (CEO, CTO)
Nuevo tipo de columna "contraseña" totalmente segura que facilita la creación de la extranet

Funciones previstas para un futuro próximo

Posible seudonimización de los datos
Historial de accesos a la reproducción por grabación
Historial de accesos de lectura por archivo
Exportar el historial por registro
Historial de exportación por tabla

Usted sigue teniendo el control de sus datos. TimeTonic solo proporciona una herramienta para centralizarlos, gestionarlos y protegerlos, y no puede tomar medidas detalladas en tu nombre.

No accedemos a sus datos, no conocemos sus datos y no damos ningún acceso a sus datos a terceros, a menos que usted lo solicite expresamente y nos invite a hacerlo.

Para más detalles, consulte las condiciones de uso de TimeTonic.

PREGUNTAS FRECUENTES

Seguridad de acceso a la información/datos

¿Qué medios de autentificación están disponibles para acceder a su servicio?

Autenticación OAUTH2 para el acceso a la API
2FA
SSO mediante SAML2, el resto de estándares se estudiarán previa solicitud
Login / Contraseña

¿Es posible utilizar el inicio de sesión único (SSO) de Google?

Somos compatibles con todos los servicios SSO compatibles con SAML2.0, cualquier otro estándar será estudiado bajo petición

¿Cuál es la política de seguridad de contraseñas para las cuentas de usuario locales?

Las contraseñas no deben tener espacios, al menos 8 caracteres, un número, una mayúscula y una minúscula.
Las contraseñas tienen hash y sal, por lo que están encriptadas y no pueden recuperarse, sólo sustituirse.
Las contraseñas deben renovarse cada año
Las cuentas son nominativas

¿Está disponible la doble autenticación, o la autenticación fuerte, para las cuentas locales?

TOTP 2FA está disponible para cualquier cuenta, accionable desde el perfil del usuario

¿Cuáles son los diferentes medios de acceso disponibles? Utilizan todos los flujos algoritmos de cifrado potentes para garantizar la confidencialidad de nuestros datos?

TimeTonic es una plataforma SaaS pública, disponible a través de Internet.
Todas las transferencias de datos están protegidas con ssl de grado TLS1.2 (HTTPS obligatorio)

¿Se trata de un entorno compartido con otros clientes o de una solución dedicada? ¿Qué medios se utilizan para garantizar la estanqueidad de los distintos entornos?

Los datos y el software se alojan en nuestros propios servidores y no se comparten con ninguna otra empresa.
Una gestión muy precisa y estricta de los derechos de acceso prohíbe el acceso a los espacios de trabajo, las columnas y las líneas de datos, tanto en el lado del cliente como en el del servidor.
Se pueden crear bases de datos específicas para aislar aún más los datos en términos de acceso y rendimiento.
Se pueden crear servidores dedicados bajo petición para aumentar el rendimiento
El alojamiento in situ también está disponible previa solicitud.

¿Cómo funciona el acceso al servicio y a nuestros datos?

Los archivos de los clientes (pdf, word, emails, etc) son encriptados y almacenados en disco en espacios no accesibles en http, sólo se genera un enlace, se guarda y se utiliza como base de datos
Los datos se gestionan por área de trabajo denominada "espacio de trabajo". Cada área de trabajo tiene sus propias bases de datos y el acceso a la misma se gestiona mediante derechos específicos.
Es posible el acceso por usuario o grupo de usuarios, incluso por vista, por fila o por columna; por ejemplo, algunas personas pueden ver todos los datos pero no el historial de modificaciones, u otras pueden tener acceso de sólo lectura a una parte de los datos, acceso de escritura a otra parte y ningún acceso a otra parte.
El acceso a los archivos se realiza a través de URL largas anónimas generadas y gestionadas en una base de datos, por lo que los motores de búsqueda no pueden hacer referencias ni búsquedas en ellas.
Existen dos tipos de URL:

Una que permite el libre acceso al propietario de la URL
El otro siempre requiere un derecho de acceso válido a través de TimeTonic login / contraseña

¿Qué medios de software y hardware de seguridad se implementan para garantizar la confidencialidad, integridad, trazabilidad y disponibilidad de los datos (IPS/IDS, SOC, Gateway Antivirus, Supervisión, Log, etc.)?

Alwaysdata gestiona el hardware y el mantenimiento operativo de los servidores de TimeTonic, que están alojados físicamente en centros de datos de Equinix en Francia.
Certificaciones SOC 2, PCI DSS, SOC 1 Tipo 2 (SSAE 18 sustituye a SSAE 16).
Los accesos físicos al centro de datos están controlados por una estación de seguridad y, a continuación, por lectores individuales de tarjetas magnéticas y biométricos.Ver el vídeo
Utilizamos internamente una herramienta de auditoría (OpenVAS) para escanear nuestros servidores en busca de vulnerabilidades y herramientas (por ejemplo, rkhunter) para comprobar diariamente la integridad de los archivos críticos.

Seguridad de almacenamiento, conservación y restitución de la información/datos

¿Nuestros datos se almacenarán en un centro de datos seguro (norma ISO, clasificación del centro de datos en cuestión, etc.)? ¿Es posible elegir la ubicación de nuestros datos?

El hardware y el mantenimiento operativo de los servidores de TimeTonic están gestionados por Alwaysdata y los servidores están alojados físicamente en los centros de datos de Equinix en Francia.Por lo tanto, las certificaciones SOC 2, PCI DSS, SOC 1 Tipo 2 (SSAE 18 sustituye a SSAE 16) están presentes.Los accesos físicos en el centro de datos están controlados por una estación de seguridad, a continuación, por tarjeta magnética individual y lectores biométricos Ver vídeo
No es posible elegir el centro de datos
Las copias de seguridad se almacenan en distintos servidores en Francia, a varios kilómetros de distancia del sitio principal, y están alojadas en un host diferente (Scaleway).

¿Están cifrados los datos (almacenamiento, base de datos, etc.)?

Los archivos están encriptados
El acceso a las bases de datos de usuarios por parte de otros usuarios es imposible (excepto los datos compartidos por los propios usuarios que han invitado temporalmente a los miembros de soporte de TimeTonic - ellos mismos bajo estrictos acuerdos de confidencialidad - ) y sólo el CEO y el CTO de TimeTonic tienen las credenciales de administrador de los servidores que se modifican al menos dos veces al año. Incluso para el CEO y el CTO seguimos una estricta política de no acceder nunca a los datos sin autorización previa de los clientes

¿Dispone de una política de copias de seguridad (plan de copias de seguridad, caducidad, etc.)?

Diariamente se realiza una copia de seguridad continua de 30 días de todas las bases de datos y archivos, y mensualmente se realiza una copia de seguridad que se conserva durante 12 meses.
Los datos pertenecientes a los usuarios se conservan mientras las licencias estén activas y luego se archivan durante 1 año, a menos que se solicite la eliminación de una cuenta.
Los datos de identificación del usuario (nombre, login) se conservan durante el periodo de licencia / cobro y se borran cuando se elimina una cuenta con el pago final.

¿Cuántos niveles de copia de seguridad y restauración hay disponibles (parcial, completa, etc.)?

Las copias de seguridad son totales y se realizan diariamente a las 4 de la mañana con copias de las copias de seguridad en servidores independientes
La restauración puede ser total o parcial y se realiza bajo pedido
TimeTonic también permite guardar el histórico de todas las modificaciones realizadas por los usuarios (quién modificó qué, cuándo y cuál era el valor anterior) lo que, además de una trazabilidad muy útil para entender los cambios realizados, permite, bajo demanda, volver atrás de forma muy fina sin perder los cambios realizados durante el día desde la última copia de seguridad diaria
Los usuarios también pueden utilizar la tecla ctrl-z (deshacer) directamente en la vista de hoja de cálculo para los cambios realizados en el momento
TimeTonic también genera un archivo de copia de seguridad diario completo para todas las tablas de datos del espacio de trabajo, en formato XML compatible con Excel, al que puede acceder y conservar por defecto durante un año.
‍

¿Cuánto tiempo se tarda en restaurar una copia de seguridad anterior? ¿Esta restauración requiere su intervención? En este caso concreto, ¿tiene un coste la restauración?

La copia de seguridad se realiza bajo demanda y tarda entre 2h y 8h dependiendo del tipo de restauración solicitada (excepto ctrl-z que restaura instantáneamente los datos anteriores)
Salvo el ctrl-z que puede ser realizado por los propios usuarios, la restauración requiere la intervención de TimeTonic
La intervención se factura en función del tiempo empleado (en proporción al coste diario en vigor, actualmente 950€ / día)
TimeTonic también genera un archivo de copia de seguridad diario completo para todas las tablas de datos del espacio de trabajo, en formato XML compatible con Excel, al que puede acceder y conservar por defecto durante un año.

¿Se prueban regularmente las copias de seguridad para garantizar su funcionamiento?

Una recuperación de datos completa se prueba cada semana

Continuidad y recuperación de desastres

¿Qué medios se han puesto en marcha para garantizar la continuidad de la actividad en caso de fallo de hardware o software?

Los procedimientos completos de instalación de software se prueban aproximadamente 4 veces al año y las restauraciones completas de datos se prueban semanalmente.
Utilizamos pingdom para probar el acceso al servicio cada minuto con envío de sms y correo electrónico a 3 personas en caso de indisponibilidad
Utilizamos newrelic para medir los tiempos de respuesta y el número de consultas a la aplicación y a la base de datos.
También utilizamos herramientas propias que nos envían un SMS en caso de error de acceso, acceso repetido no autorizado o solicitud de olvido de contraseña.

¿Existe un sitio secundario que permita la recuperación de desastres?

Alwaysdata gestiona servidores a través de múltiples centros de datos Equinix y puede restaurar el servicio a otros servidores. También disponemos de nuestros servidores de preproducción que pueden convertirse en servidores de producción en 8 horas

¿Tiene un PCA/PRA por escrito para enviarnos?

Los procedimientos no se comunican

¿Depende las fuentes de sus aplicaciones de un tercero de confianza?

En la actualidad no se depositan los códigos fuente de las aplicaciones, pero esto puede ponerse en marcha para los contratos que lo justifiquen

Calidad del servicio

¿Cuál es la media de OTN en toda su infraestructura? ¿Y para el servicio en cuestión?

Máxima interrupción del servicio observada de 11 minutos en el último año
Tasa de disponibilidad observada superior al 99,95%.

¿Se proporciona un entorno de preproducción con el servicio?

Sí, cada cliente puede crear un número ilimitado de espacios de trabajo, incluida la preproducción
También tenemos nuestro propio servidor de preproducción

¿Puede facilitarnos los principales SLA de los servicios?

SLA:

Las licencias Pro incluyen la siguiente disponibilidad de servicio (acceso en línea)

Tiempo de respuesta garantizado (TRG): 60 minutos (en horario de asistencia)
GST (Tiempo de reparación del servicio garantizado): 2h (en horario de asistencia)
Disponibilidad mensual del servicio garantizada: 99,5% (en horario de asistencia)
No se garantiza el tiempo de reparación de los errores, pero por supuesto haremos todos los esfuerzos comerciales razonables para solucionarlos.

Soporte

La asistencia por correo electrónico y teléfono se presta de lunes a viernes en horario laboral (de 9:30 a 18:30 CET). Las llamadas de asistencia que tardan más de 15 minutos en procesarse se cobran por horas.
Si se alcanzan más de 8 horas de asistencia de pago en un mes determinado, se envía una notificación al cliente preguntándole si la asistencia debe continuar o no.
Las licencias de usuario profesional también pueden solicitar asistencia in situ actualmente en la zona de París. La asistencia in situ fuera de la zona de París conllevará gastos adicionales de gestión, desplazamiento y tramitación.

‍

¿Cómo se hacen las actualizaciones?

Especificaciones, pruebas en las estaciones de trabajo de los desarrolladores, pruebas unitarias, pruebas funcionales, fusión con master, pruebas en el servidor de preproducción, liberación en el servidor de producción y pruebas completas después de las 18:00, un clic hacia atrás si es necesario.

Continuidad del servicio RPO, RTO

Póngase en contacto con Alwaysdata en caso de problemas generales de acceso. Alwaysdata dispone de un excelente servicio también en caso de emergencia
Acceso directo por parte del CEO/CTO para el análisis de registros/reinstalación de versiones anteriores/base de datos

Reversibilidad de nuestros datos

¿Dispone de procesos y procedimientos para garantizar la reversibilidad de los datos?

Sí, ver arriba

¿Qué apoyo ofrece a sus clientes?

Formación administrativa para poder crear o gestionar sus propias aplicaciones / procesos empresariales con total autonomía
Servicios profesionales para ayudar en el diseño y la creación de aplicaciones/procesos empresariales
Formación / documentación para los usuarios
Asistencia in situ o a distancia
Ayuda a la importación de datos
Ayuda a la exportación / restitución de datos
Desarrollos específicos
Interfaces con sus herramientas existentes (ya hemos creado interfaces con MS Navision, Office, Google, Dropbox y Salesforce en particular)

¿En qué formato se devuelven los datos?

Exportar csv / xml para los datos, ZIP para los archivos

¿Tiene algún coste la recuperación de datos?

Sí, la intervención se factura por tiempo (en proporción al coste diario en vigor, actualmente 950€ / día)
Si lo desea, también podemos enviar sus datos semanalmente por FTP.
Para las licencias Business, también puede crear sus propias exportaciones de datos, incluidos los archivos

Nos gustaría realizar pruebas de reversibilidad periódicas (2-4 veces al año), ¿cuál es su posición?

Es posible

Cumplimiento

¿Cumple con los requisitos del Reglamento Europeo de Protección de Datos (GDPR)?

Sí, ver arriba

¿Está el almacenamiento de datos en la zona de la UE?

Sí, en Francia

¿Qué compromisos adquiere sobre la propiedad y el uso de los datos?

Todos sus datos le pertenecen y nadie más tiene acceso a ellos, salvo que usted lo solicite expresamente o la ley lo exija.
Puede solicitar la devolución de sus datos y la destrucción de todos ellos en cualquier momento