Le stockage des données collectées (voir ‘Informations collectées et utilisées’) se fait dans une base de données. Le mot de passe n’est pas stocké, mais pour permettre la validation de votre connexion à votre espace bind, nous stockons l’emprunt chiffré de ce mot de passe, généré par l’algorithme de chiffrement non réversible SHA256.
Une fois que vous avez souscrit à l’offre payante, une sauvegarde est effectuée quotidiennement et stockée sur des disques de stockage indépendants hébergés par OVH en Europe (France).
Seuls les 30 derniers jours sont conservés.
Nous utilisons plusieurs technologies différentes et nous stockons les jeux de sauvegardes sur des sites séparés.
Nos services s’appuient sur les sous-traitants et services suivants :
L’hébergeur de serveurs informatiques, OVH. Ces serveurs sont hébergés en Europe (France). Aucune information client n’est communiquée à ce sous-traitant qui ne fournit que la couche matérielle et réseau, l’installation et l’exploitation étant réalisées par nos soins directement.
L’hébergeur de serveurs informatiques Scaleway. Ces serveurs sont hébergés en Europe (France).
Aucune information client n’est communiquée à ce sous-traitant qui ne fournit que la couche matérielle et réseau, l’installation et l’exploitation étant réalisées par nos soins directement.
Le service de paiement en ligne Stripe, qui est utilisé, pour assurer le paiement régulier de l’abonnement. Lorsque vous remplissez vos coordonnées de carte de crédit, elles sont envoyées directement à Stripe lors de la saisie du numéro pour effectuer le paiement (cela signifie que nous ne connaissons jamais les données de votre carte de crédit. Stripe ne nous donne que les 4 derniers chiffres, ce qui nous permet de pouvoir identifier / analyser les problèmes de paiement).
Sendgrid service de relais emailing, qui sert à relayer les notifications email de GLPI lorsque le mode “PHP” (par défaut) est utilisé et que le client ne spécifie pas son propre SMTP dans la configuration de GLPI.
Notre architecture GLPI Cloud est protégée d’Internet par le Réseau Firewall OVHCloud (qui s’occupe également de l’Anti-DDOS) avec des règles de sécurité strictes. Seuls les protocoles
bien définis sont autorisés (HTTPS uniquement), tout le reste est bloqué avant même d’arriver sur les instances GLPI Cloud (qu’elles soient sur l’offre Publique ou Privée). Le pare-feu Linux est
également activé sur chaque instance (pour protéger les instances à l’intérieur des réseaux OVHCloud), avec les mêmes restrictions protocolaires que sur les pares-feux amont. (Privé) Les accès HTTPS externes peuvent être filtrés sur des plages d’IPs publiques identifiées par le client.
L’accès maintenance des équipes TECLIB n’est possible qu’à partir d’un Bastion TECLIB SSH dédié. L’accès à ce bastion n’est possible qu’avec une connexion VPN authentifiée par un
certificat nominatif, renouvelé chaque année et révoqué en cas de problème ou de départ d’un employé. Utilisation de technologie ipsec / ssh / tls.
La maintenance des serveurs est réalisée et supervisée depuis l’outil Ubuntu Landscape, en lien avec notre outil d’inventaire dédié aux instances Cloud (GLPI, bien sûr) sur lequel nous réalisons des mesures d’impact, des alertes sur les versions, les espaces disques, les domaines, les
certificats, le tracking changements / problèmes / incidents / etc.
Dans le cadre de notre engagement à corriger les bugs, nous déployons des correctifs de sécurité sur les instances Cloud avant même que le code ne soit publié sur l’espace de développement
communautaire (Github).
GLPI en tant que logiciel populaire, est régulièrement audité par des analystes de sécurité Ces auditeurs doivent respecter notre politique de disclosure et peuvent nous contacter en dehors des plateformes publiques :
glpi-security@ow2.org
Nos services fonctionnent sur les systèmes et logiciels Linux Ubuntu. Ils bénéficient de mises à jour de sécurité régulières lorsque l’éditeur du système d’exploitation (Ubuntu Canonical) les publie.
Nos services sont accessibles en HTTPS (chiffré HTTP) uniquement, chiffrés avec des certificats SHA256.
Notre plateau technique est protégé par différents dispositifs à la pointe de la technologie en
matière de sécurité informatique : FireWall, Banishing Tools, Système de détection d’utilisation de SPAM et Protection DOS, protection anti-injection de logiciels, anti-XSS sur les logiciels utilisés pour l’espace client et mis à la disposition des utilisateurs. Le test de ces composants logiciels se fait automatiquement via les outils PHP-Unit et Travis-CI.
Nous effectuons également une veille technologique sur les dépendance applicative JS/PHP avec mise à jour continu de nos infrastructures sur chaque correctif.
Nos installations respectent au minimum le niveau renforcé décrit dans le document
“RECOMMANDATIONS DE SECURITÉ RELATIVES À UN SYSTÈME GNU/LINUX” édité par l’ANSSI :
https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-un-systeme-gnulinux/ .
Nous respectons également les recommandation les bests-practice concernant les applications
web publié par owasp.org
Nous Réalisons des tests de sécurité applicatif via zaproxy.org
Nous utilisons les outils suivants :
* En cas de suspicion de vol des données que nous avons collectées (voir premier point ‘Informations collectées et utilisées’), les clients seront informés par email, à l’email
correspondant à leur compte client
Vos informations client (email, mot de passe de votre compte client et éventuellement raison sociale, nom et prénom du contact, adresse, code postal, pays et numéro de TVA) sont
conservées après la saisie de votre inscription. Ces informations nous permettent de facturer la prestation, si vous avez choisi l’offre payante.
Si vous avez souscrit à l’offre payante, nous stockons également les informations suivantes :
Votre mandat SEPA si vous avez choisi le paiement SEPA, les 4 derniers chiffres de votre carte si vous avez opté pour le paiement par carte. Les coordonnées complètes de votre carte bancaire, nécessaires au paiement par carte, ne sont pas stockées chez nous, mais chez notre prestataire de paiement Stripe (leader mondial du paiement en ligne). Nous n’en avons pas connaissance,
chaque échantillon passe par une requête que nous envoyons à ce prestataire. Lorsque vous renseignez vos coordonnées bancaires, elles sont transmises directement à Stripe et ne sont donc pas stockées sur nos serveurs.
Vous avez la possibilité de demander la suppression de votre compte et des informations ci-dessus à tout moment.
Le contact de référence Politiques de confidentialité et RGPD pour nos services est : Délégué à la protection des données rgpd-dpo@glpi-network.cloud
GLPI en sous module du SIEM Prélude NG certifié iso 270001 pour la direction générale de l’armement en collaboration avec la société spécialisé dans la cybersécurité CS (https://uk.cs.fr)
Projet Européen H2020-SATIE avec plusieurs acteurs dont Airbus qui intègre GLPI (en tant que logiciel d’inventaire) dans son logiciel de simulation de cyber-attaques et détection de vulnérabilités
