Sécurité

La sécurité de vos données est notre priorité absolue

Vous nous confiez les données de vos clients. Nous prenons cette responsabilité au sérieux avec une approche de sécurité en profondeur, du chiffrement à l'audit.

Mesures techniques

6 couches de protection pour garantir la confidentialité, l'intégrité et la disponibilité de vos données.

Chiffrement de bout en bout

  • Chiffrement AES-256-GCM pour toutes les données sensibles au repos
  • TLS 1.3 pour toutes les communications en transit (HSTS activé)
  • Mots de passe hashés avec bcrypt (coût adaptatif)
  • Clés API et tokens OAuth chiffrés avant stockage en base

Hébergement souverain

  • Serveur dédié en Union européenne (OVHcloud, France)
  • Aucun transfert de données hors UE/EEE
  • Infrastructure isolée — pas de cloud mutualisé
  • Sauvegardes quotidiennes chiffrées avec restauration testée

Contrôle d'accès

  • Authentification double facteur (2FA) — obligatoire pour les administrateurs, disponible pour tous
  • Tokens d'accès à durée de vie courte avec renouvellement automatique
  • Cookies sécurisés (HttpOnly, Secure, SameSite=Strict)
  • Contrôle d'accès par rôle (RBAC) avec principe du moindre privilège

Isolation multi-tenant

  • Chaque cabinet est un tenant strictement isolé
  • Filtre de sécurité appliqué sur chaque requête en base de données
  • Aucune fuite de données inter-tenants possible, même en cas de bug
  • Séparation des fichiers par tenant dans le stockage objet

Traçabilité & audit

  • Logs d'audit horodatés sur chaque action sensible
  • Piste d'audit complète : acteur, action, horodatage, détails
  • Conservation des logs conforme aux obligations légales
  • Gestion centralisée des secrets avec rotation automatique

Sécurité applicative

  • Validation de chaque entrée utilisateur (schémas stricts côté serveur)
  • Protection contre les injections SQL, XSS, CSRF, SSRF et path traversal
  • En-têtes de sécurité HTTP complets (CSP, HSTS, X-Frame-Options, etc.)
  • Limitation du nombre de requêtes sur tous les points d'accès publics

Conformité & gouvernance des données

Conformité RGPD native

Garante est lui-même conforme au RGPD. Registre Article 30 documenté, DPA disponible, droits des personnes implémentés.

Purge automatique des données sensibles

Les pièces d'identité sont automatiquement supprimées après 30 jours. Seul le log d'audit est conservé.

Portabilité des données

Export complet de vos données à tout moment (JSON, PDF). Suppression sur demande sous 30 jours après résiliation.

IA responsable

L'IA ne prend aucune décision autonome. Chaque suggestion est validée par le DPO avant application. Aucune donnée n'est utilisée pour entraîner des modèles.

Sous-traitants ultérieurs

Les traitements opérationnels sont 100% UE. Stripe (paiement de l'abonnement) est encadré par les Clauses Contractuelles Types et le Data Privacy Framework.

Sous-traitantServiceLocalisationGaranties
OVH SAS (OVHcloud)HébergementFrance (UE)ISO 27001, SOC 1/2
Mistral AI SASIntelligence artificielleFrance (UE)Zero Data Retention
Brevo (Sendinblue SAS)Emails transactionnelsFrance (UE)DPA signé
BunnyWay d.o.o. (Bunny.net)CDN, WAF, DNSSlovénie (UE)DPA signé, Bunny Shield
Stripe Inc.Paiement de l'abonnement GaranteÉtats-UnisCCT + Data Privacy Framework

Documents disponibles

Nous fournissons sur demande l'ensemble des documents nécessaires à votre évaluation.

Contact sécurité

Pour toute question relative à la sécurité, signaler une vulnérabilité ou demander un document complémentaire :

securite@garante.fr