Sécurité

Chiffrement

• Chiffrement des données sensibles au repos (IBAN, pièces d'identité) en AES-256-GCM avant stockage.
• Chiffrement de bout en bout des communications en TLS 1.3.
• Les données de carte bancaire ne transitent jamais par nos serveurs : elles sont traitées exclusivement par Stripe (certifié PCI-DSS niveau 1).

Hébergement et localisation

Les données métier (clients, documents, lettres de mission) sont hébergées chez Supabase, en région eu-west-1 (Irlande, Union Européenne). Le frontal web est diffusé via Vercel. Aucune donnée personnelle n'est transférée hors de l'Union Européenne sans encadrement par les clauses contractuelles types de la Commission européenne.

Contrôle des accès

• Isolation stricte entre cabinets (multi-tenant) via une sécurité au niveau des lignes (Row Level Security) appliquée sur l'ensemble des tables.
• Authentification par jeton JWT à durée limitée, avec rafraîchissement automatique.
• Gestion des rôles (Administrateur / Collaborateur) sur les offres multi-utilisateurs.
• Déconnexion automatique après 30 minutes d'inactivité.
• Accès aux données de production restreint aux seules personnes habilitées.

Traçabilité et résilience

• Piste d'audit horodatée de toutes les opérations sensibles, conservée conformément aux exigences LCB-FT.
• Sauvegardes régulières de la base de données par notre hébergeur, avec redondance au sein de l'UE.
• Surveillance de la disponibilité du service (voir notre page Statut).

Sous-traitants

Nos principaux sous-traitants techniques (Supabase, Vercel, Stripe) sont sélectionnés pour leur niveau de sécurité et leurs certifications respectives. La liste complète et leur localisation figurent dans notre Politique de confidentialité.