Aller au contenu principal
ConfidentialitéCGU / CGVMentions légalesCookiesSécurité

Sécurité

Mesures techniques et organisationnelles — Version 2.0 — Mise à jour : 17 mai 2026

1. Notre engagement

La sécurité des données de nos clients est notre priorité absolue. JARVIS SAS applique les meilleures pratiques de l'industrie (OWASP, ANSSI, CNIL) et révise en continu son dispositif.

2. Cryptographie

  • TLS 1.3 pour tout le trafic + HSTS 2 ans (preload)
  • Certificats Let's Encrypt renouvelés automatiquement
  • Chiffrement AES-256 au repos sur la base de données
  • Mots de passe hashés avec bcrypt (coût adaptatif)
  • Tokens OAuth chiffrés en base avec clé maître séparée
  • Webhook Stripe vérifié par signature HMAC-SHA256

3. Authentification & accès

  • Auth par Supabase (JWT signés, refresh rotatifs)
  • Sessions courtes (1 h access / 7 j refresh)
  • Rate limiting sur /auth/* et endpoints sensibles (5 req/min/IP)
  • Politique de mots de passe forts (minimum 8 caractères, complexité)
  • Authentification forte (2FA) optionnelle
  • Verrouillage temporaire après échecs répétés

4. Isolation des données

  • Row Level Security (RLS) PostgreSQL : chaque tenant ne voit que ses données
  • Validation systématique de l'utilisateur courant côté serveur
  • Politique zero-trust : aucune confiance dans le client
  • Variables d'environnement secrètes en coffre Vercel chiffré

5. Headers HTTP & navigateur

  • Content Security Policy (CSP) stricte
  • X-Frame-Options : SAMEORIGIN (anti-clickjacking)
  • X-Content-Type-Options : nosniff
  • Referrer-Policy : strict-origin-when-cross-origin
  • Permissions-Policy : caméra/micro/géoloc/topics désactivés
  • Cookies marqués HttpOnly + Secure + SameSite=Lax

6. Supervision & continuité

  • Logs applicatifs + accès conservés 12 mois
  • Sauvegardes quotidiennes chiffrées, rétention 30 jours
  • Plan de continuité (RPO ≤ 24 h, RTO ≤ 4 h)
  • Notification de violation sous 72 h (art. 33 RGPD)
  • Mises à jour de dépendances mensuelles minimum (Dependabot)

7. Tests & audits

  • Tests unitaires & end-to-end avant chaque déploiement
  • Analyse statique du code (TypeScript strict)
  • Audit OWASP Top 10 documenté et révisé
  • Pentest externe annuel (programmé)

8. Programme de divulgation responsable

Nous accueillons favorablement les signalements de chercheurs en sécurité indépendants. Si vous identifiez une vulnérabilité :

  • Écrivez à contact@wewinbid.com (objet : « Security disclosure ») ;
  • Décrivez précisément la vulnérabilité, son impact et les étapes de reproduction ;
  • Accordez-nous un délai raisonnable (90 jours) avant divulgation publique ;
  • N'accédez à aucune donnée client, ne dégradez aucun service et n'exfiltrez rien.

En retour : réponse sous 5 jours ouvrés, mention publique (si souhaitée) après correction. Aucune poursuite ne sera engagée contre un chercheur de bonne foi respectant les règles ci-dessus.

9. Sous-traitants & certifications

  • Supabase — SOC 2 Type II, hébergement AWS eu-west-1 (Dublin)
  • Vercel — SOC 2 Type II, ISO 27001
  • Stripe — PCI DSS Level 1 (le plus haut niveau)
  • Anthropic (Claude) — SOC 2 Type II, options zero data retention
  • Brevo — RGPD, hébergement France

10. Contact sécurité

contact@wewinbid.com — chiffrement PGP disponible sur demande.