Política de Continuidade de Atividade (PCA)

Preâmbulo

A presente Política de Continuidade de Atividade («PCA») descreve as medidas organizativas, técnicas e jurídicas implementadas por Axel REGNOULT, que opera sob o nome comercial Axelo (SIRET 895 214 989 00017 — 128 rue de la Boétie, 75008 Paris, França), para garantir a continuidade dos Serviços disponibilizados no sítio https://www.web-agency.app, inclusive em caso de incidente grave ou de falha do prestador.

A presente PCA constitui um documento de confiança, destinado em particular aos Clientes profissionais (B2B), e complementa as CGV, as CGS SaaS e o DPA.

Artigo 1 — Natureza do compromisso (meios, não resultado)

Os compromissos assumidos pela Axelo no âmbito da presente PCA constituem uma obrigação de meios, e não uma obrigação de resultado. A Axelo aplica meios razoáveis, proporcionados à natureza e à dimensão de uma micro-empresa individual, para garantir a disponibilidade, a integridade e a resiliência dos Serviços.

Nenhuma garantia contratual de taxa de disponibilidade (uptime SLA) é subscrita, salvo acordo escrito distinto.

Artigo 2 — Infraestrutura e residência dos dados

A infraestrutura da Axelo assenta na Google Cloud Platform através da Firebase (Firebase Hosting, Firebase App Hosting, Firestore, Cloud Storage, Cloud Functions), na região europe-west4 (Eemshaven, Países Baixos — União Europeia).

Esta região beneficia de uma redundância multi-zona nativa: os dados e o compute são replicados em tempo real entre, pelo menos, duas zonas de disponibilidade fisicamente separadas no mesmo datacenter regional, garantindo uma resiliência automática face a uma avaria de hardware ou de rede localizada.

Subsiste uma exceção para a extensão Stripe firestore-stripe-payments, alojada em europe-west1 (Saint-Ghislain, Bélgica), por falta de suporte de europe-west4 pela validação Google desta extensão. O detalhe da estratégia de região é precisado na Política de Privacidade.

Artigo 3 — Cópias de segurança e conservação

A Axelo implementa uma política de cópias de segurança que garante a integridade e a recuperabilidade dos dados dos Clientes:

• Cópias de segurança automáticas diárias do conjunto das bases de dados e dos ficheiros de utilizadores, cifradas em repouso (AES-256 do lado da Google Cloud);
• Retenção: trinta (30) dias deslizantes, com rotação automática. As cópias de segurança anteriores a trinta dias são sobrescritas de forma irreversível;
• Isolamento: as cópias de segurança são armazenadas num projeto Google Cloud distinto do projeto de produção, com permissões IAM dedicadas;
• Testes de restauro: é realizado pelo menos uma vez por trimestre um teste de restauro parcial.

Artigo 4 — RPO e RTO

A Axelo compromete-se a aplicar meios razoáveis para respeitar os seguintes objetivos indicativos em caso de incidente:

• RPO (Recovery Point Objective) — vinte e quatro (24) horas — quantidade máxima de dados potencialmente perdidos entre a última cópia de segurança explorável e o momento do incidente;
• RTO (Recovery Time Objective) — quarenta e oito (48) horas — duração máxima visada entre a deteção de um incidente grave e a retoma do serviço em condições nominais.

Estes objetivos são metas internas de obrigação de meios, e não compromissos contratuais de resultado (cf. artigo 1).

Artigo 5 — Procedimento de comutação em caso de incidente grave

Em caso de incidente grave que afete a disponibilidade ou a integridade dos Serviços, aplica-se o seguinte procedimento:

• Deteção: alertas automatizados (monitorização Google Cloud, Sentry) + supervisão humana em horas úteis;
• Qualificação: avaliação da gravidade, do âmbito e da duração provável do incidente;
• Comunicação: notificação aos Clientes afetados por correio eletrónico e/ou através de banner no sítio, num prazo razoável e, pelo menos, de vinte e quatro em vinte e quatro (24) horas durante a duração do incidente;
• Comutação técnica: redestacamento automático multi-zona pela Google Cloud; em caso de indisponibilidade regional prolongada, ativação do procedimento de restauro a partir de cópia de segurança numa região UE alternativa (europe-west1 em primeira ajuda);
• Notificação RGPD em caso de violação de dados pessoais: segundo o procedimento definido no artigo 9 do DPA (72 horas);
• Análise pós-incidente: é enviado aos Clientes profissionais afetados um relatório de incidente nos quinze (15) dias subsequentes ao regresso à normalidade.

Artigo 6 — Plano de retoma em caso de desaparecimento do prestador

Sendo a Axelo explorada por uma empresa individual, está previsto um dispositivo específico para garantir a continuidade dos Serviços em caso de desaparecimento, incapacidade duradoura ou cessação de atividade do explorador.

Um documento selado é depositado junto de um notário ou de um advogado de confiança, formalmente designado, contendo os seguintes elementos:

• as credenciais de administração Firebase / Google Cloud que permitem a retoma da infraestrutura;
• os procedimentos de transferência dos nomes de domínio (web-agency.app e associados), incluindo a lista dos registrars e dos contactos;
• os contactos do sucessor designado (pessoa singular ou coletiva terceira de confiança), encarregado de assegurar, num primeiro momento, a continuidade operacional mínima do serviço (manutenção dos Serviços no estado, gestão dos pedidos RGPD, restituição dos dados);
• as instruções de notificação a dirigir aos Clientes ativos num prazo máximo de trinta (30) dias após o evento desencadeador.

Este documento é atualizado pelo menos uma vez por ano, e após qualquer alteração substancial da infraestrutura ou dos prestadores.

Artigo 7 — Auditoria anual e testes de continuidade

A Axelo procede, pelo menos uma vez por ano, a uma auditoria interna de continuidade que compreende:

• a verificação da integridade das cópias de segurança e a realização de um teste de restauro sobre uma amostra representativa;
• a revisão da documentação da PCA e do documento selado (cf. artigo 6);
• a atualização dos contactos de emergência (notário / advogado, sucessor, prestadores-chave);
• a revisão dos eventuais incidentes ocorridos no ano e das ações corretivas implementadas.

Um relatório de auditoria sintético pode ser comunicado, mediante pedido escrito, aos Clientes profissionais signatários do DPA, no respeito das obrigações de confidencialidade dos demais Clientes (cf. DPA art. 10).

Artigo 8 — Exclusões e força maior

Estão expressamente excluídos do âmbito da presente PCA e não podem comprometer a responsabilidade da Axelo:

• os casos de força maior na aceção do artigo 1218 do Código civil francês: acontecimento alheio ao controlo da Axelo, que não podia ser razoavelmente previsto no momento da celebração do contrato e cujos efeitos não podem ser evitados por medidas adequadas (catástrofe natural, guerra, atentado, epidemia, greve geral, decisão de uma autoridade pública, etc.);
• os factos de terceiros, nomeadamente os ataques informáticos com um nível de sofisticação tal que não puderam ser evitados apesar das medidas técnicas e organizativas implementadas (cf. DPA art. 6);
• as falhas prolongadas da Google Cloud Platform, em particular qualquer indisponibilidade regional de europe-west4 e/ou europe-west1 superior a cinco (5) dias consecutivos;
• os factos do Cliente ou dos seus utilizadores autorizados (má utilização, supressão acidental não recuperável para além da janela de 30 dias, violação das CGU / CGS SaaS);
• as operações de manutenção programada notificadas previamente.