Política de Continuidad de Actividad (PCA)

Preámbulo

La presente Política de Continuidad de Actividad («PCA») describe las medidas organizativas, técnicas y jurídicas aplicadas por Axel REGNOULT, que opera bajo el nombre comercial Axelo (SIRET 895 214 989 00017 — 128 rue de la Boétie, 75008 París, Francia), para garantizar la continuidad de los Servicios ofrecidos en el sitio https://www.web-agency.app, incluso en caso de incidente mayor o de fallo del prestador.

La presente PCA constituye un documento de confianza, en particular destinado a los Clientes profesionales (B2B), y completa las CGV, las CGS SaaS y el DPA.

Artículo 1 — Naturaleza del compromiso (medios, no resultado)

Los compromisos asumidos por Axelo en virtud de la presente PCA constituyen una obligación de medios, y no una obligación de resultado. Axelo aplica medios razonables, proporcionados a la naturaleza y al tamaño de una micro-empresa individual, para garantizar la disponibilidad, la integridad y la resiliencia de los Servicios.

No se suscribe ninguna garantía contractual de tasa de disponibilidad (uptime SLA), salvo acuerdo escrito distinto.

Artículo 2 — Infraestructura y residencia de los datos

La infraestructura de Axelo se basa en Google Cloud Platform a través de Firebase (Firebase Hosting, Firebase App Hosting, Firestore, Cloud Storage, Cloud Functions), en la región europe-west4 (Eemshaven, Países Bajos — Unión Europea).

Esta región se beneficia de una redundancia multi-zona nativa: los datos y la computación se replican en tiempo real entre al menos dos zonas de disponibilidad físicamente separadas dentro del mismo datacenter regional, garantizando una resiliencia automática frente a una avería de hardware o de red localizada.

Subsiste una excepción para la extensión Stripe firestore-stripe-payments, alojada en europe-west1 (Saint-Ghislain, Bélgica), a falta de soporte de europe-west4 por parte de la validación Google de dicha extensión. El detalle de la estrategia de región se precisa en la Política de Privacidad.

Artículo 3 — Copias de seguridad y conservación

Axelo implanta una política de copias de seguridad que garantiza la integridad y la restaurabilidad de los datos de los Clientes:

• Copias de seguridad automáticas diarias del conjunto de las bases de datos y de los archivos de usuarios, cifradas en reposo (AES-256 del lado de Google Cloud);
• Retención: treinta (30) días deslizantes, con rotación automática. Las copias de seguridad anteriores a treinta días se sobrescriben de manera irreversible;
• Aislamiento: las copias de seguridad se almacenan en un proyecto Google Cloud distinto del proyecto de producción, con permisos IAM dedicados;
• Pruebas de restauración: se realiza al menos una vez por trimestre una prueba de restauración parcial.

Artículo 4 — RPO y RTO

Axelo se compromete a aplicar medios razonables para respetar los siguientes objetivos indicativos en caso de incidente:

• RPO (Recovery Point Objective) — veinticuatro (24) horas — cantidad máxima de datos potencialmente perdidos entre la última copia de seguridad explotable y el momento del incidente;
• RTO (Recovery Time Objective) — cuarenta y ocho (48) horas — duración máxima objetivo entre la detección de un incidente mayor y la reanudación del servicio en condiciones nominales.

Estos objetivos son objetivos internos de obligación de medios, y no compromisos contractuales de resultado (cf. artículo 1).

Artículo 5 — Procedimiento de conmutación en caso de incidente mayor

En caso de incidente mayor que afecte a la disponibilidad o a la integridad de los Servicios, se aplica el siguiente procedimiento:

• Detección: alertas automatizadas (monitorización Google Cloud, Sentry) + supervisión humana en horario laboral;
• Calificación: evaluación de la gravedad, del ámbito y de la duración probable del incidente;
• Comunicación: notificación a los Clientes afectados por correo electrónico y/o mediante banner en el sitio, en un plazo razonable y al menos cada veinticuatro (24) horas durante la duración del incidente;
• Conmutación técnica: redespliegue automático multi-zona por Google Cloud; en caso de indisponibilidad regional prolongada, activación del procedimiento de restauración a partir de copia de seguridad en una región UE alternativa (europe-west1 como primer auxilio);
• Notificación RGPD en caso de violación de datos personales: según el procedimiento definido en el artículo 9 del DPA (72 horas);
• Retroalimentación: se envía un informe del incidente a los Clientes profesionales afectados en los quince (15) días siguientes al regreso a la normalidad.

Artículo 6 — Plan de continuidad en caso de desaparición del prestador

Al ser Axelo explotada por una empresa individual, está previsto un dispositivo específico para garantizar la continuidad de los Servicios en caso de desaparición, incapacidad duradera o cese de actividad del explotador.

Un documento sellado se deposita ante un notario o un abogado de confianza, formalmente designado, que contiene los siguientes elementos:

• las credenciales de administración Firebase / Google Cloud que permiten la reanudación de la infraestructura;
• los procedimientos de transferencia de los nombres de dominio (web-agency.app y asociados), incluida la lista de registradores y de contactos;
• los datos de contacto del sucesor designado (persona física o jurídica tercera de confianza), encargado de garantizar, en primera instancia, la continuidad operativa mínima del servicio (mantenimiento de los Servicios en su estado, tramitación de las solicitudes RGPD, restitución de los datos);
• las instrucciones de notificación que deben dirigirse a los Clientes activos en un plazo máximo de treinta (30) días tras el evento desencadenante.

Este documento se actualiza al menos una vez al año, y tras toda modificación sustancial de la infraestructura o de los prestadores.

Artículo 7 — Audit anual y pruebas de continuidad

Axelo procede, al menos una vez al año, a un audit interno de continuidad que comprende:

• la verificación de la integridad de las copias de seguridad y la realización de una prueba de restauración sobre una muestra representativa;
• la revisión de la documentación de la PCA y del documento sellado (cf. artículo 6);
• la actualización de los contactos de emergencia (notario / abogado, sucesor, prestadores clave);
• la revisión de los eventuales incidentes ocurridos durante el año y de las acciones correctivas adoptadas.

Puede comunicarse un informe de audit sintético, previa solicitud escrita, a los Clientes profesionales firmantes del DPA, respetando las obligaciones de confidencialidad respecto de los demás Clientes (cf. DPA art. 10).

Artículo 8 — Exclusiones y fuerza mayor

Quedan expresamente excluidos del ámbito de la presente PCA y no pueden comprometer la responsabilidad de Axelo:

• los casos de fuerza mayor en el sentido del artículo 1218 del Código civil francés: acontecimiento ajeno al control de Axelo, que no podía preverse razonablemente al celebrarse el contrato y cuyos efectos no pueden evitarse mediante medidas apropiadas (catástrofe natural, guerra, atentado, epidemia, huelga general, decisión de una autoridad pública, etc.);
• los hechos de terceros, en particular los ataques informáticos con un nivel de sofisticación tal que no han podido evitarse a pesar de las medidas técnicas y organizativas aplicadas (cf. DPA art. 6);
• los fallos prolongados de Google Cloud Platform, en particular toda indisponibilidad regional de europe-west4 y/o europe-west1 superior a cinco (5) días consecutivos;
• los hechos del Cliente o de sus usuarios autorizados (uso indebido, supresión accidental no recuperable más allá de la ventana de 30 días, violación de las CGU / CGS SaaS);
• las operaciones de mantenimiento programado notificadas previamente.