PE Projet Entan
CGVConfidentialitéMentions légalesDPA

Fiche de sécurité

Cette fiche résume les mesures techniques et organisationnelles mises en œuvre pour protéger les données de nos clients. Elle peut être transmise dans le cadre d’une évaluation fournisseur.

Hébergement & localisation

  • Base de données et authentification : Supabase, infrastructure en Union européenne (Irlande).
  • Application : Vercel (réseau de diffusion mondial ; transferts encadrés par clauses contractuelles types).
  • Paiements : Stripe — aucun numéro de carte n’est stocké par nos soins.

Chiffrement

  • En transit : HTTPS / TLS sur l’ensemble des échanges.
  • Au repos : chiffrement AES-256 de la base de données (Supabase).

Isolation des données (multi-tenant)

  • Cloisonnement appliqué au niveau de la base via Row Level Security (PostgreSQL).
  • L’accès aux données est strictement limité aux membres de chaque projet : appartenir à la même entreprise ne donne pas accès aux projets.
  • Les règles d’isolation sont appliquées côté serveur (base de données), non contournables depuis le navigateur.

Authentification & contrôle d’accès

  • Authentification par email / mot de passe (Supabase Auth) ; sessions par cookie sécurisé.
  • Accès par siège, avec rôles (propriétaire / administrateur / membre).
  • Les clés d’administration (service-role) sont utilisées exclusivement côté serveur, jamais exposées au navigateur.

Durcissement applicatif

  • En-têtes de sécurité : HSTS, X-Frame-Options (anti-clickjacking), nosniff, Referrer-Policy, Permissions-Policy.
  • Validation des redirections (protection contre les redirections ouvertes).
  • Webhooks (paiement, emails) vérifiés par signature.

Sauvegardes & continuité

  • Sauvegardes automatiques de la base de données : [fréquence / rétention selon le plan Supabase].
  • Restauration possible à partir des sauvegardes du fournisseur d’hébergement.

Sous-traitants

Supabase (UE/Irlande), Vercel, Stripe. Le détail des rôles et garanties figure dans notre accord de traitement des données (DPA).

Gestion des incidents

En cas de violation de données, nos clients sont informés sans délai injustifié, avec les éléments nécessaires à leurs propres obligations réglementaires.

Contact sécurité

Pour toute question ou signalement : [email de contact sécurité].

Dernière mise à jour : 29 juin 2026. — [Compléter les champs entre crochets selon votre plan d’hébergement.]