Sécurité

Dernière mise à jour : 13 mars 2026

1. Notre approche de la sécurité

La sécurité de vos données est au cœur de notre plateforme. Nous appliquons les meilleures pratiques de l'industrie pour protéger vos informations et celles de vos clients à chaque niveau de notre infrastructure.

2. Chiffrement

  • En transit : toutes les communications utilisent TLS 1.2+ (HTTPS). Aucune donnée ne circule en clair.
  • Au repos : les données stockées en base sont chiffrées via AES-256.
  • Tokens OAuth : les tokens Google Calendar sont chiffrés et stockés de manière sécurisée.
  • Clés API : toutes les clés API sont injectées via variables d'environnement, jamais dans le code source.

3. Authentification et contrôle d'accès

  • Authentification sécurisée via Supabase Auth (JWT, sessions sécurisées).
  • Isolation par tenant : chaque entreprise accède uniquement à ses propres données.
  • Principe du moindre privilège pour tous les accès internes.
  • Tokens d'API avec expiration automatique.

4. Infrastructure

  • Hébergement API : Railway — conteneurs isolés, déploiements automatisés.
  • Base de données : Supabase (PostgreSQL) — sauvegardes automatiques, réplication.
  • Frontend : Vercel — CDN mondial, protection DDoS intégrée.
  • Téléphonie : Twilio — certifié ISO 27001, SOC 2 Type II.
  • Paiements : Stripe — certifié PCI DSS Level 1.

5. Protection des appels vocaux

  • Les appels sont acheminés via Twilio (infrastructure télécoms de confiance).
  • Les transcriptions sont générées par IA et stockées de manière chiffrée.
  • Les enregistrements vocaux ne sont pas partagés avec des tiers.
  • Les données vocales ne sont pas utilisées pour entraîner des modèles d'IA.

6. Sécurité du développement

  • Revue de code systématique pour chaque modification.
  • Dépendances mises à jour régulièrement (audits de sécurité npm).
  • Variables d'environnement séparées entre développement et production.
  • Aucun secret ni credential dans le code source.

7. Gestion des incidents

  • Monitoring en temps réel de l'infrastructure et des API.
  • Procédure de réponse aux incidents documentée.
  • Notification sous 72h en cas de violation de données (conformité RGPD).
  • Post-mortem systématique après chaque incident.

8. Continuité de service

  • Objectif de disponibilité : 99,9 %.
  • Sauvegardes automatiques quotidiennes de la base de données.
  • Redondance géographique via nos fournisseurs d'infrastructure.
  • Plan de reprise d'activité documenté.

9. Signaler une vulnérabilité

Si vous découvrez une vulnérabilité de sécurité, merci de nous la signaler de manière responsable à :

Nous nous engageons à accuser réception sous 48h et à traiter le signalement dans les meilleurs délais.

Politique de confidentialitéConditions généralesRGPDAccueil