Prezenta convenție privind „Termenii și condițiile de utilizare a serviciului de Cloud VPS" stabilește condițiile în care orice persoană poate vizita ori accesa site-ul Cloudify.ro sau poate utiliza în orice mod serviciul, având valoarea unei convenții încheiate, în sensul art. 1166 și următoarele din Codul Civil, între ACVILE TECH S.R.L (denumit în continuare „furnizor"), în calitatea sa de proprietar și administrator al site-ului și de furnizor al serviciului de Infrastructură ca Serviciu (Infrastructure as a Service – IaaS), și orice persoană care vizitează ori accesează site-ul sau care dorește să utilizeze în orice mod sau utilizează efectiv serviciile (denumit în continuare „utilizator" sau „client").
Scopul colectării datelor este: furnizarea serviciilor de Cloud-VPS conform ofertei curente, în conformitate cu Regulamentul (UE) 2016/679 (GDPR) și Legea nr. 190/2018.
ACVILE TECH S.R.L este înregistrată la Autoritatea Națională de Supraveghere a Datelor cu Caracter Personal sub nr. 48288.
ACVILE TECH S.R.L. tratează cu responsabilitate protecția datelor dumneavoastră cu caracter personal și aplică cu strictețe legislația în vigoare. Mai jos vă prezentăm politica noastră cu privire la prelucrarea datelor cu caracter personal, care vă oferă posibilitatea de a vă informa cu privire la protecția pe care v-o garantăm și scopul colectării datelor cu caracter personal.
În calitate de persoană împuternicită (Găzduire Web), din perspectiva Regulamentului (UE) 2016/679, procesăm doar datele cu caracter personal pe care dumneavoastră le-ați stabilit, pentru timpul indicat și în scopurile impuse de dumneavoastră ca operator. Vă asigurăm că datele dumneavoastră sunt în siguranță, rămân proprietatea dumneavoastră și sunt stocate doar pe servere din România. Sistemul de back-up intern (opțional) este implementat în spațiul Uniunii Europene, iar accesul la aceste sisteme este restricționat exclusiv personalului tehnic autorizat.
Când vă înregistrați pentru a utiliza Serviciile noastre, putem colecta următoarele informații despre dvs.:
– prenume, nume, adresa de e-mail, data nașterii, localitatea de domiciliu, CNP, datele de identificare din actul de identitate, numărul de telefon, CUI, Reg. Com.
În funcție de alegerile pe care le faceți în timpul autentificării la Serviciile noastre sau în timpul procesului de angajare a Serviciilor noastre, puteți opta pentru următoarele date personale suplimentare: datele cardului dvs. de credit în cazul în care doriți să furnizați această informație, precum și contul IBAN.
Este interzisă publicarea pe serverele furnizorului de conținuturi sau trimiteri (links) către astfel de conținuturi care: (I) încalcă ori prejudiciază în orice mod drepturile de proprietate intelectuală ale altor persoane ori alte drepturi; (II) au conținut obscen sau pornografic sau de natură violentă; (III) au conținut defăimător sau calomnios; (IV) au conținut cu caracter rasial ori discriminatoriu; (V) conțin viruși, cai troieni sau altele similare; (VI) conțin software piratat sau se adresează celor care piratează software ori practică orice activități similare. Este, de asemenea, interzisă utilizarea serverelor noastre exclusiv ca suport de stocare (ex. filme, mp3, poze etc.).
Serviciul oferit de furnizor se încadrează în categoria Infrastructură ca Serviciu (Infrastructure as a Service – IaaS), un model recunoscut de standardele europene în materie de cloud computing (în special standardul ISO/IEC 17788, ghidurile ENISA privind securitatea în cloud și Directiva (UE) 2022/2555 – NIS2, transpusă în legislația română prin Legea nr. 58/2024 privind securitatea cibernetică). Specific acestui model, răspunderea pentru funcționarea în siguranță a serviciului este partajată între furnizor și client, fiecare având atribuții clar delimitate. Părțile convin în mod expres asupra următoarei delimitări, având valoarea unei clauze contractuale obligatorii conform art. 1270 din Codul Civil.
Furnizorul își asumă, în calitate de obligație de mijloace în sensul art. 1480 din Codul Civil, răspunderea exclusivă pentru următoarele componente ale serviciului:
(a) Infrastructura fizică – securitatea fizică a centrului de date, alimentarea redundantă cu energie electrică, climatizarea echipamentelor, controlul accesului fizic, integritatea hardware-ului;
(b) Stocarea – disponibilitatea sistemului de stocare bloc (block storage) la nivel hardware și de software de virtualizare, inclusiv replicarea internă pentru toleranță la defecțiunile hardware uzuale;
(c) Procesarea – disponibilitatea resurselor de calcul (CPU, RAM) alocate clientului prin hypervisor, în limitele planului tarifar contractat;
(d) Conectivitatea – furnizarea conexiunii la rețeaua Internet și a rețelei interne de comunicații, în limitele garanției de uptime prevăzute la secțiunea „Garanția uptime";
(e) Layer-ul de virtualizare – aplicarea patch-urilor de securitate pentru hypervisor, sistemul de operare al gazdei (host OS) și componentele de orchestrare cloud (OpenStack, KVM, libvirt și similare), conform politicilor interne de gestiune a vulnerabilităților și obligațiilor prevăzute de Legea nr. 58/2024.
Toate componentele software și de configurare aflate în interiorul instanței virtuale (VPS) sunt în responsabilitatea exclusivă a clientului, fără excepție. Acestea includ, fără ca enumerarea să fie limitativă:
(a) Sistemul de operare oaspete (guest OS) – instalarea, configurarea, întreținerea și actualizarea sistemului de operare instalat în VPS, indiferent dacă a fost desfășurat dintr-o imagine standard pusă la dispoziție de furnizor sau dintr-o imagine personalizată a clientului. Punerea la dispoziție a unei imagini standard nu transferă răspunderea către furnizor;
(b) Aplicații, biblioteci și software – orice aplicație, framework, server web, server de baze de date, container, runtime, CMS sau bibliotecă instalată ori executată în VPS;
(c) Configurația de securitate – setările firewall (atât la nivel de VPS, cât și prin grupurile de securitate puse la dispoziție în panoul de control), regulile de acces SSH, certificatele TLS/SSL, politica de parole și autentificarea multi-factor;
(d) Credentialele și cheile de acces – păstrarea în condiții de siguranță a parolelor, cheilor SSH, token-urilor API, cheilor de acces la panoul de control și a oricăror alte informații sensibile care permit accesul la cont sau la instanțele virtuale;
(e) Datele și conținutul – legalitatea, integritatea și protecția datelor stocate în VPS, inclusiv conformitatea cu legislația privind protecția datelor cu caracter personal (Regulamentul (UE) 2016/679 – GDPR și Legea nr. 190/2018), precum și cu politica de conținut prevăzută la secțiunea 1;
(f) Efectuarea de copii de siguranță (backup) externe ale datelor, conform secțiunii dedicate de mai jos.
Clientul este responsabil pentru actualizarea informațiilor de contact din panoul de control de facturare ori de câte ori este necesar. Furnizorul nu poate fi tras la răspundere pentru consecințele unei comunicări neefectuate sau eronate care decurge direct din neefectuarea de către client a acestor actualizări.
Clientul este responsabil pentru menținerea în condiții de siguranță a numelui de utilizator, parolelor, cheilor SSH, token-urilor API și a oricăror alte credentiale sau informații sensibile care permit accesul la cont sau la instanțele virtuale. Furnizorul nu poate fi tras la răspundere pentru consecințele compromiterii unor astfel de credentiale ca urmare a unei acțiuni sau inacțiuni a clientului.
Prețul pentru backup-ul automat este 20% din valoarea serverului. Backup-ul se realizează automat la fiecare 12 ore sau poate fi creat la cerere de către client din interfața de administrare. Restaurarea din backup se realizează tot din interfață și implică oprirea serviciului până la finalizarea operațiunii.
Clientul declară că înțelege și acceptă în mod expres faptul că răspunderea pentru efectuarea de copii de siguranță (backup) externe ale datelor stocate în VPS îi aparține în totalitate. Prin „backup extern" se înțelege orice copie a datelor stocată într-o locație fizică sau logică distinctă de infrastructura furnizorului, astfel încât pierderea totală a infrastructurii furnizorului să nu conducă la pierderea datelor clientului.
Furnizorul oferă, ca serviciu opțional contra cost, un sistem de backup automat intern (snapshot-uri stocate în infrastructura proprie a furnizorului). Acest serviciu reprezintă o facilitate tehnică suplimentară și NU se substituie obligației clientului de a efectua backup extern independent. Backup-ul intern protejează împotriva erorilor accidentale ale clientului (ștergeri, modificări nedorite) însă nu garantează recuperarea datelor în cazul unor incidente catastrofice care afectează simultan instanța virtuală și sistemul de backup intern.
Furnizorul este în mod expres exonerat de orice răspundere – contractuală, delictuală sau de altă natură – pentru pierderea, deteriorarea, alterarea sau indisponibilitatea datelor clientului, în următoarele situații, fără ca enumerarea să fie limitativă: (i) clientul nu a configurat un sistem propriu de backup extern; (ii) clientul a dezactivat, modificat sau a refuzat serviciul opțional de backup intern oferit de furnizor; (iii) datele au fost șterse, criptate sau alterate ca urmare a unei acțiuni a clientului, a unui terț autorizat de client sau a unui atacator care a obținut acces prin credentiale, vulnerabilități sau configurații aflate în responsabilitatea clientului; (iv) datele au fost pierdute ca urmare a expirării conturilor sau serviciilor în condițiile prevăzute la secțiunea „Termene de plată și facturare"; (v) datele au fost pierdute ca urmare a unei vulnerabilități de securitate de tip CVE în sistemul de operare oaspete sau în software-ul instalat de client.
Definiție: CVE (acronim provenit din limba engleză de la „Common Vulnerabilities and Exposures", traductibil ca „Vulnerabilități și Expuneri Comune") reprezintă un sistem internațional, public și standardizat de catalogare a vulnerabilităților de securitate din software și hardware, administrat de organizația non-profit MITRE Corporation cu sprijinul Agenției pentru Securitate Cibernetică și Infrastructură (CISA) a Statelor Unite ale Americii. Fiecărei vulnerabilități descoperite și confirmate i se atribuie un identificator unic în formatul CVE-AAAA-NNNNN (unde AAAA reprezintă anul publicării, iar NNNNN un număr de ordine). Aceste vulnerabilități sunt publicate în baza de date NVD (National Vulnerability Database, accesibilă public la nvd.nist.gov), precum și în baza europeană EUVD operată de Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA). Sistemul CVE este recunoscut în legislația europeană prin Directiva (UE) 2022/2555 – NIS2, transpusă în România prin Legea nr. 58/2024 privind securitatea cibernetică.
Exemple: (i) o eroare în codul sursă al unui sistem de operare (Linux, Windows) care permite unui atacator escaladarea privilegiilor; (ii) o eroare într-un server web (Apache, Nginx) care permite executarea de cod la distanță; (iii) o eroare într-o bibliotecă criptografică (OpenSSL) care permite scurgerea de informații sensibile; (iv) o eroare într-un CMS (WordPress, Drupal) care permite injectarea de cod sau accesul neautorizat la baza de date.
În cadrul modelului de răspundere partajată descris la secțiunea precedentă, vulnerabilitățile CVE se clasifică în două categorii: (a) CVE care afectează layer-ul de infrastructură al furnizorului (hypervisor, host OS, software de orchestrare cloud) – în acest caz furnizorul își asumă obligația de mijloace de a aplica patch-urile de securitate într-un termen rezonabil, conform politicilor sale interne de gestiune a vulnerabilităților și obligațiilor prevăzute de Legea nr. 58/2024; (b) CVE care afectează layer-ul aflat în responsabilitatea clientului (sistemul de operare oaspete, aplicațiile, bibliotecile, framework-urile, CMS-urile și orice alt software instalat sau executat de client în VPS) – în acest caz, răspunderea aparține în întregime și exclusiv clientului.
Furnizorul este în mod expres exonerat de orice răspundere – contractuală, delictuală, civilă sau de altă natură – pentru: (i) prejudicii directe sau indirecte cauzate clientului ca urmare a exploatării unei vulnerabilități CVE în software-ul instalat ori executat de client în VPS; (ii) compromiterea instanței virtuale prin exploatarea unei vulnerabilități cunoscute (publicată în baza CVE) sau necunoscute (zero-day) în sistemul de operare oaspete sau în aplicațiile clientului; (iii) prejudicii rezultate din pierderea, scurgerea, alterarea sau criptarea (inclusiv prin atacuri de tip ransomware) a datelor clientului, atunci când compromiterea s-a produs prin exploatarea unei vulnerabilități în layer-ul de responsabilitate a clientului; (iv) prejudicii cauzate terților prin instanța virtuală a clientului, atunci când compromiterea acesteia se datorează unei vulnerabilități în layer-ul de responsabilitate a clientului; (v) costurile de remediere, restaurare, investigație criminalistică digitală sau notificare a persoanelor vizate (în cazul unei breșe de date personale conform art. 33 și 34 din GDPR).
Notificări de curtoazie: furnizorul își rezervă dreptul, fără a-și asuma vreo obligație juridică, de a transmite clienților notificări informative privind vulnerabilități critice publicate în baza CVE care ar putea afecta sistemele de operare standard puse la dispoziție prin imaginile sale. Aceste notificări au caracter pur informativ și sunt oferite cu titlu de bună-credință (curtoazie comercială), fără a genera obligații legale suplimentare în sarcina furnizorului. Lipsa unei astfel de notificări nu poate constitui temei al unei pretenții împotriva furnizorului.
Caracterul de caz fortuit / forță majoră: o vulnerabilitate de tip zero-day (necunoscută public la momentul exploatării) constituie, în accepțiunea părților și conform art. 1351 alin. (3) din Codul Civil, un eveniment imprevizibil și inevitabil, fiind asimilat cazului fortuit și exonerând furnizorul de răspundere indiferent de layer-ul afectat, până la momentul publicării patch-ului oficial.
În completarea delimitărilor stabilite în secțiunile privind modelul răspunderii partajate, răspunderea pentru backup și exonerarea în caz de vulnerabilități CVE, furnizorul nu poate fi considerat responsabil pentru daune cauzate de nedisponibilitatea temporară a serverelor noastre, indiferent de motivul care cauzează acest lucru. Această prevedere include și daunele rezultate din deteriorarea sau pierderea datelor. Clientul este de acord să garanteze și să țină indemn furnizorul în legătură cu orice pretenții și daune, incluzând, fără a se limita la acestea, daunele cauzate terților, rezultate ca o consecință a utilizării serviciilor de către client.
Utilizatorul declară că înțelege și acceptă că, în orice situație în care utilizatorul va solicita daune de orice fel furnizorului, suma totală a daunelor solicitate de utilizator pentru orice motiv și care ar putea fi achitate de furnizor nu va putea depăși în niciun mod și în niciun caz suma totală a tarifelor (taxelor) achitate de către utilizator furnizorului în ultimele 12 luni anterioare faptei generatoare a pretenției.
Cloudify.ro garantează o medie anuală de 99.5% uptime pentru rețeaua de internet și serverele instalate în centrul de date.
Sunt exceptate următoarele situații:
– Situații de forță majoră, în care furnizorul nu poate avea nicio influență, cum ar fi: războaie, calamități naturale, indisponibilitatea sau întreruperea comunicațiilor, foc, viruși, atacuri informatice, vulnerabilități zero-day, nefuncționarea corectă a unui software oferit de altă sursă (scripturi gratuite, software de comerț electronic sau procesatoare de plăți online), inundații, cutremure, embargouri, acțiuni ale autorităților legale.
– Lucrări de întreținere anunțate sau în situații critice, upgrade-uri ale serverelor.
– Domain Name System (DNS) și alte probleme care nu pot fi controlate de Cloudify.ro.
Cloudify.ro își rezervă dreptul de a trimite notificări privind serviciile oferite, precum și anunțuri din partea unor terți, atunci când acestea pot fi în folosul utilizatorilor.
Clientul este de acord să achite în avans serviciile noastre, alimentându-și contul cu Cloud Credit în balanța contului. Creditul poate fi utilizat pe orice perioadă, serviciile fiind taxate pe oră.
Prețurile afișate în Euro sunt calculate în RON la cursul BNR din data plății; conform legislației, toate facturile și plățile sunt procesate în RON.
Când balanța scade sub 0 EUR, clientul este notificat repetat pentru a alimenta contul. Dacă în 15 zile de la momentul în care balanța a intrat pe 0 clientul nu alimentează contul, serviciile vor fi suspendate. După alte 30 de zile de la suspendare, serviciile vor fi șterse permanent de pe serverele Cloudify, fără a mai putea fi restaurate.
Fiecare serviciu cumpărat beneficiază de suport tehnic.
Cloudify.ro pune la dispoziția clienților o adresă de e-mail și o interfață de live-chat prin care se poate discuta cu operatorii tehnici pentru asistență.
Produsele sunt exclusiv servicii electronice (VPS). Livrarea lor este instantanee, are loc online și se realizează prin intermediul interfeței de utilizator a site-ului Cloudify.ro.
Clienții pot solicita în decurs de 30 de zile returnarea sumei depuse. Dacă este cazul, serviciile active la momentul returului vor fi dezactivate.
Ne rezervăm dreptul de a face adăugiri, anulări sau modificări la Termenii și Condițiile de față, la prețuri și pe site oricând, informarea făcându-se prin intermediul site-ului sau al panourilor de control ale clienților.