Seguridad y conformidad

Entrada en vigor el 25/02/2020


La seguridad y la conformidad son las prioridades de Phosforea, filial del grupo SCASSI dedicada principalmente a la ciberseguridad. El sistema LMS (Learning Management System) de Phosforea utiliza herramientas de estándares industriales para garantizar la protección de los datos de los clientes en todos los accesos, difusión y utilización no autorizada. La seguridad está dirigida por el responsable técnico de la web de Phosforea, con la ayuda del equipo de ingenieros de ciberseguridad de SCASSI, así como del equipo de desarrollo de Phosforea.

1. RGPD y protección de los datos.

Phosforea trata los datos de carácter personal de sus clientes de manera automatizada, según las condiciones recogidas en el RGPD, con fines de gestión de competencias de los trabajadores en un marco de formación. A este respecto, Phosforea ha nombrado un Delegado de Protección de Datos (DPO), con el que puede contactar en: dpo@phosforea.com

Datos personales recogidos del cliente, así como de los futuros aprendientes:

Apellidos y nombres

Dirección de correo electrónica profesional

Función, el departamento o el número de registro en la empresa

Dirección IP

Los datos personales se generan para seguir el avance de los aprendientes:

Nivel de avance en la formación (tiempo transcurrido, módulos completados, empezados o no empezados).

El nivel de éxito (puntos obtenidos en el cuestionario y las evaluaciones)

1.1. Obtención de consentimiento

Cualquier persona física que tenga que conectarse por primera vez en una plataforma LMS Phosforea (plataforma personalizada para un cliente o plataforma genérica) deberá aceptar las condiciones generales de uso marcando la casilla de "Doy mi consentimiento" al inicio de la creación de su cuenta.

1.2. Principio de minimización

En nombre del principio de minimización de datos personales, los trabajadores de Phosforea deben manejar la menor cantidad posible de archivos que contengan datos personales e invitar a los clientes a utilizar sistemáticamente las funciones de la plataforma para modificar, importar y exportar los datos de sus aprendientes.

1.3. Almacenamiento de datos

Nuestros contratos de servicio especifican que los datos se conservan hasta el 31/12 del año N + 1 tras el cierre del proyecto.

Cada año en el mes de diciembre, el Delegado de Tratamiento de Datos o una persona designada dentro del equipo de Phosforea realiza una revisión completa de los proyectos para eliminar definitivamente los datos personales registrados de los servidores de Phosforea de proyectos que finalizaron en el año N-1.

Los datos en cuestión se eliminan de forma definitiva.

1.4. Gestión de las copias de seguridad

Phosforea conserva una copia de seguridad de los datos confiados por sus clientes en el marco de los proyectos durante un periodo de 5 años de calendario. Esto se basa en el plazo de prescripción para un proceso judicial, el plazo de derecho común es de 5 años (artículo L110-4 del Código de Comercio, artículo 2224 del Código Civil).

Las copias de seguridad realizadas por Phosforea se cifran y almacenan en un disco externo conservado en una caja fuerte a prueba de fuego. Las copias de seguridad se cifran con un cifrado simétrico AES-256.

Las copias de seguridad del año N se eliminan en enero del año N + 6 (ejemplo: enero de 2020: eliminación definitiva de las copias de seguridad del año 2014). Se entiende por "Eliminación de copias de seguridad" la destrucción física y protegida de los discos de soporte y la firma, por parte del consejero delegado de la empresa o de cualquier persona autorizada, de un documento de destrucción.

Phosforea conserva una copia de seguridad de los datos confiados por sus clientes en el marco de los proyectos durante un periodo de 5 años de calendario. Esto se basa en el plazo de prescripción para un proceso judicial, el plazo de derecho común es de 5 años (artículo L110-4 del Código de Comercio, artículo 2224 del Código Civil).

Las copias de seguridad realizadas por Phosforea se cifran y almacenan en un disco externo conservado en una caja fuerte a prueba de fuego. Las copias de seguridad se cifran con un cifrado simétrico AES-256.

Las copias de seguridad del año N se eliminan en enero del año N + 6 (ejemplo: enero de 2020: eliminación definitiva de las copias de seguridad del año 2014).

2. Seguridad de la aplicación

La seguridad de nuestro LMS es una prioridad. Phosforea pone a disposición de sus clientes un Dosier de seguridad que detalla todas las medidas físicas, lógicas y organizativas implementadas para garantizar la seguridad de la plataforma LMS.

2.1. Alojamiento

El alojamiento de la aplicación está en un servidor virtual privado (VPS) del proveedor OVH. El servidor está situado en Francia, concretamente en Gravelines. Toda la lógica de la aplicación y los datos almacenados se encuentran en este mismo servidor.

El nivel de seguridad del proveedor de OVH ha sido evaluado y cumple con el nivel de seguridad requerido por Phosforea.

Los entornos de desarrollo y preproducción, así como el código fuente de la aplicación, se internalizan dentro del sistema informático de la empresa.

2.2. Seguridad y confidencialidad de los datos

Todos los datos que pasan por la aplicación Phosforea se envían de forma segura a través de HTTPS. Cada instancia de cliente alojada en el servidor de Phosforea está particionada de manera lógica en todos los niveles:

Utilización de recursos

Servicios del sistema

Almacenamiento de datos

2.3. Autenticación

El acceso a la aplicación es obligatorio con la creación de una contraseña segura de acuerdo con las recomendaciones de la ANSSI: al menos 12 caracteres de diferentes tipos (mayúsculas, minúsculas, números, caracteres especiales). Las contraseñas se almacenan cifradas.

Single Sign On (SSO) también está disponible como método de autenticación a través del protocolo SAML v2.0.

2.4. Desarrollo seguro

Los desarrolladores que integran el equipo de Phosforea siguen la formación interna "Seguridad en los desarrollos": este curso permite a nuestros trabajadores integrar la seguridad en los desarrollos en todos los niveles y comunicarse de manera eficaz con los equipos para implementar las estrategias de enmienda adecuadas (desde la concepción o en respuesta ante un incidente).

Cada cambio en el código de Phosforea se implementa en una plataforma de prueba interna y se somete a un conjunto de pruebas: unitarias, funcionales, no regresivas y de seguridad. Cada versión apta (candidata para el lanzamiento) se revisa a nivel de código para garantizar la implementación de buenas prácticas internas antes de la publicación de una versión estable.

3. Gestión de incidentes

El tratamiento de un incidente se realiza a través de los siguientes canales:

Teléfono : 05 61 17 08 54

3.1. Acuerdos de nivel de servicio (SLA)

El soporte informático de Phosforea está disponible de 9:00 a. m. a 6:00 p. m. de lunes a viernes (UTC +1 o UTC + 2). Phosforea hará todos los esfuerzos razonables para garantizar la máxima disponibilidad de la plataforma LMS creada y asignada para el cliente y, al mismo tiempo, el cumplimiento de los siguientes parámetros operativos:

99% de disponibilidad y accesibilidad anual

Al recibir una solicitud, los equipos técnicos tienen 4 horas de trabajo para responder a la misma.

La resolución de una solicitud debe hacerse dentro de las 16 horas hábiles siguientes a la primera solicitud

3.2. Continuidad del negocio

Las copias de seguridad diarias se pueden usar en caso de un incidente de pérdida de datos.

En caso de que un fallo del proveedor de alojamiento provoque que el servidor deje de estar disponible, se configurará un entorno idéntico en una región diferente. El equipo de desarrolladores y operaciones lleva a cabo escenarios de crisis anuales o migración de datos donde se prueba la puesta en marcha y la creación de un nuevo entorno de producción.

4. Control de seguridad

4.1. Pentests y auditorías

Los pentests se realizan en la aplicación Phosforea cada vez que se lanza una nueva versión principal. Estos pentests van acompañados de un informe de las vulnerabilidades encontradas. Una vez que se han aplicado las medidas correctivas, se realiza un nuevo control para validar la implementación correcta de las soluciones.

Las auditorías de configuración también se realizan en la infraestructura de la aplicación. Al igual que los pentests, estas van acompañados de un informe y un control de validación de la implementación de las medidas correctivas.

4.2. Supervisión

La supervisión del servidor está configurada para controlar diferentes servicios, así como los registros de errores y las alertas de las aplicaciones y el sistema.

Se han definido umbrales críticos y se envían alertas por correo electrónico a los desarrolladores, lo que permite una reacción en caso de incidente.

4.3. Gestión de vulnerabilidades

Las alertas por correo electrónico a los desarrolladores están configuradas para advertir sobre nuevas vulnerabilidades (CVE) descubiertas en las tecnologías utilizadas en la pila de aplicaciones. Luego se analizan y, si es pertinente, se corrigen.

Estas vulnerabilidades se corrigen en 2 semanas aplicando la actualización correspondiente.

Una pregunta ?

¿Necesitas más detalles? Estamos a su disposición para responder sus preguntas.

Contáctenos