← Retour à l'accueil

Sécurité

La confiance se mérite. Voici, en toute transparence, les mesures techniques et organisationnelles que nous mettons en œuvre pour protéger vos données et votre activité.

🔐 Chiffrement

Vos données sont protégées en transit et au repos.

  • TLS 1.3 sur 100% des connexions web et API
  • AES-256-GCM sur les jetons OAuth réseaux sociaux (jamais en clair)
  • Disques chiffrés au niveau hébergeur (Hostinger + Supabase EU)
  • Mots de passe hashés via bcrypt (Supabase Auth, 12 rounds)

🚪 Authentification

Multi-facteurs et cookies sécurisés.

  • Session via cookies httpOnly, SameSite=Lax (immune au XSS)
  • Support Google OAuth (avec 2FA si activé côté Google)
  • Rate limiting natif sur les tentatives de connexion
  • Tokens d'accès rotatifs, durée de vie 1h, refresh 30j

🛡️ Isolation multi-tenant

Vos données sont strictement séparées de celles d'autres organisations.

  • Row Level Security PostgreSQL activé sur 100% des tables
  • Politiques RLS basées sur org_id — isolation garantie au niveau base
  • Audit cross-tenant systématique avant chaque déploiement
  • Service Role Key strictement réservée aux API serveur (jamais exposée côté client)

📋 Journalisation et audit

Toutes les actions sensibles sont tracées.

  • Audit log immuable pour : connexions, modifications de rôles, publications, exports RGPD
  • Conservation 5 ans (traçabilité légale)
  • Détection automatique d'anomalies (tentatives massives, accès atypiques)
  • Logs structurés JSON (Pino) — pas de fuite d'informations sensibles

🌐 Sécurité applicative

Protections contre les vulnérabilités web courantes.

  • Validation Zod sur 100% des entrées API (frontières strictes)
  • Protection SSRF sur les webhooks sortants (DNS + RFC1918 + blacklist ports)
  • En-têtes HTTP de sécurité : CSP, HSTS, X-Frame-Options, Referrer-Policy
  • Préfixage anti-injection CSV sur les exports (cellules =/+/-/@)
  • Idempotence Stripe via table dédiée (anti-replay)

💾 Sauvegardes et continuité

Vos données sont sauvegardées et restaurables.

  • Sauvegardes Supabase quotidiennes automatiques
  • Rétention 7 jours en standard, 30 jours sur l'offre Scale
  • Procédure de restauration testée trimestriellement
  • Réplication multi-zone UE (Francfort + Paris)

🔍 Monitoring

Surveillance continue et alerting.

  • Sentry pour la détection d'erreurs applicatives (avec PII scrubbing)
  • Healthchecks automatisés toutes les 30 secondes (page /status)
  • Alerting email + SMS sur incidents critiques
  • Métriques de performance suivies en temps réel

🤖 IA responsable

Vos contenus ne servent pas à entraîner les IA.

  • Modèle Anthropic Claude via API entreprise — pas d'entraînement sur vos données
  • Aucune décision automatisée à effet juridique (toute publication est validée par un humain)
  • Suggestions générées localement à votre prompt — pas de stockage indéfini chez le fournisseur d'IA
  • Possibilité de désactiver l'IA et utiliser uniquement la publication manuelle

📜 Conformité

Cadence IA respecte les normes européennes et françaises.

  • Conformité RGPD complète : portabilité (Art. 20), oubli (Art. 17), DPA (Art. 28)
  • Hébergement principal en UE (Allemagne, Pays-Bas)
  • Transferts hors UE encadrés par les Clauses Contractuelles Types 2021/914/UE
  • Sous-traitants certifiés SOC 2 Type II ou ISO 27001

🐛 Programme de divulgation responsable

Vous avez identifié une vulnérabilité ? Nous accueillons les signalements responsables de la part de chercheurs en sécurité.

1. Comment signaler : envoyez un email chiffré (PGP recommandé) à security@cadence-ia.fr avec une description détaillée, une preuve de concept, et les étapes de reproduction.
2. Notre engagement : accusé de réception sous 24h, qualification sous 5 jours ouvrés, correctif déployé sous 30 jours pour les CVE de sévérité haute ou critique.
3. Ce qui est dans le périmètre : tous les sous-domaines*.cadence.newspark.fr, l'API publique, le mécanisme OAuth, les webhooks.
4. Ce qui est hors périmètre : sites tiers (Stripe, Supabase), attaques DoS, ingénierie sociale, vulnérabilités spécifiques à un navigateur obsolète.
5. Reconnaissance : les chercheurs ayant contribué de manière substantielle sont remerciés publiquement (avec leur accord) sur la présente page.

📑 Certifications et engagements

RGPD
Conformité complète Art. 17, 20, 28
SOC 2 Type II
Sous-traitants certifiés (Supabase, Cloudinary)
ISO 27001
Hébergeur Hostinger certifié

Documents associés

Politique de confidentialitéDPA (Sous-traitance)Politique cookiesStatut du service