Sécurité chez Conviro
Sécurité de niveau entreprise conçue depuis les fondations. Vos données clients et conversations sont protégées à chaque couche.
Chiffrement
En transit : Toutes les données sont chiffrées avec TLS 1.2+ et un chiffrement 256 bits. Tous les endpoints API, webhooks et connexions widget sont exclusivement HTTPS. HSTS est appliqué avec une durée maximale d'un an, sous-domaines inclus.
Au repos : Les données clients sont chiffrées via AES-256 au niveau de la couche de stockage. Les volumes de base de données utilisent le chiffrement intégral du disque. Les fichiers de sauvegarde sont chiffrés avec des clés distinctes.
Gestion des secrets : Les clés API, jetons et identifiants sont chiffrés au repos avec des hiérarchies de clés séparées et ne sont jamais enregistrés ni exposés dans les réponses API.
Infrastructure
Centre de données : Toute l'infrastructure de production est hébergée dans des centres de données certifiés ISO 27001 dans l'Union européenne (Allemagne). Les serveurs ne sont pas accessibles depuis l'internet public.
Isolation réseau : Les services de base de données, de cache et de file de messages fonctionnent dans des réseaux privés sans adresses IP publiques. Seuls l'API et l'application web disposent de points d'accès publics, derrière un proxy inverse avec limitation du débit et protection DDoS.
Surveillance : Surveillance de l'infrastructure 24 h/24, 7 j/7 avec alertes automatisées. Objectif de disponibilité : 99,9 %.
Contrôle d'accès
Authentification : E-mail/mot de passe avec hachage bcrypt (tours de sel : 12) ou Google OAuth 2.0. Jetons d'accès JWT avec expiration à 15 minutes et jetons de rafraîchissement aléatoires cryptographiquement sécurisés.
Autorisation : Contrôle d'accès basé sur les rôles (RBAC) avec les rôles Propriétaire, Administrateur et Agent. Authentification par clé API pour les accès programmatiques avec portée des permissions par clé.
Limitation du débit : Limites de débit par IP et par compte sur tous les endpoints. Les endpoints d'authentification ont des limites plus strictes pour prévenir les attaques par force brute.
Conformité
GDPR : Conformité totale avec le Règlement général sur la protection des données de l'UE. Accords de traitement des données (DPA) disponibles pour les clients Entreprise. Principes de protection des données dès la conception appliqués sur toute la plateforme.
Résidence des données : Toutes les données clients sont stockées et traitées au sein de l'UE. Les fournisseurs de modèles IA traitent les données de conversation sous DPA avec les garanties appropriées pour tout transfert vers les États-Unis (EU-US DPF, clauses contractuelles types).
Conformité des cookies : Bannière de consentement aux cookies conforme au GDPR avec contrôle granulaire par catégorie (Essentiels, Analytique, Marketing). Les enregistrements de consentement sont conservés à des fins d'audit.
Loi estonienne sur la protection des données : Conforme à la réglementation locale estonienne. Autorité de contrôle : Inspection estonienne pour la protection des données (Andmekaitse Inspektsioon).
Conservation et suppression des données
Données de conversation : Conservées selon les paramètres de votre espace de travail (par défaut : 90 jours). Configurable par espace de travail.
Suppression de compte : Lorsque vous supprimez votre compte ou un chatbot, toutes les données associées sont immédiatement supprimées définitivement des bases de données actives. Les sauvegardes chiffrées contenant les données supprimées sont définitivement retirées dans les 30 jours.
Droit à l'effacement : Les demandes en vertu de l'article 17 du GDPR sont traitées dans les 30 jours. Contactez [email protected].
Sécurité des modèles IA
Isolation des données : Votre base de connaissances et vos données de conversation ne sont jamais utilisées pour entraîner des modèles IA. Les données de chaque espace de travail sont strictement isolées.
Accords avec les fournisseurs : Nous maintenons des Accords de traitement des données avec tous les fournisseurs IA (Anthropic, OpenAI, Google). Les accords API à rétention zéro garantissent que les fournisseurs ne stockent pas vos données.
Filtrage du contenu : Les sorties IA sont surveillées pour la sécurité. Des protections contre l'injection de prompts et des filtres de sécurité du contenu sont appliqués à toutes les interactions IA.
Divulgation des vulnérabilités
Si vous pensez avoir découvert une vulnérabilité de sécurité dans Conviro, veuillez la signaler de manière responsable à notre équipe de sécurité. Ne divulguez pas la vulnérabilité publiquement avant que nous ayons eu l'occasion d'y remédier.
Contact : [email protected]
Nous nous engageons à :
- Accuser réception de votre rapport dans les 24 heures.
- Fournir un calendrier de correction dans les 72 heures.
- Vous tenir informé de notre avancement.
- Ne pas engager de poursuites judiciaires contre les chercheurs en sécurité agissant de bonne foi.