STLUR

Sécurité et Confiance

La sécurité de vos données est notre priorité absolue

STLUR est construit avec une architecture security-first. Nous publions nos pratiques de sécurité, feuille de route de conformité et liste de sous-traitants.

SOC 2

Type I en cours

TLS 1.2+

Tout le trafic chiffré

AES-256

Chiffrement au repos

GDPR

DPA disponible

Posture de sécurité

Comment nous protégeons vos données

Chiffrement en transit

Tout le trafic est chiffré avec TLS 1.2+. HTTP redirigé vers HTTPS. HSTS forcé.

Chiffrement au repos

Toutes les données au repos sont chiffrées avec AES-256. Clés gérées par le fournisseur.

Contrôle d'accès (RLS)

La sécurité au niveau des lignes assure l'isolation des tenants. Endpoints admin protégés par MFA.

Protection des identifiants

Le scan authentifié Enterprise utilise un chiffrement AES-GCM 256-bit côté client avec une architecture de clé à deux couches HKDF.

Environnement de scan isolé

Les scanners s'exécutent dans des conteneurs éphémères (AWS Lambda + Fargate) détruits après chaque scan.

Surveillance continue

Santé de l'infrastructure, état du pipeline et taux d'erreur surveillés 24/7 avec alertes automatiques.

Auto-audit

Nous nous auditons avec STLUR — chaque mois

STLUR exécute les mêmes scans automatisés sur sa propre infrastructure de production. Chaque mois, notre domaine (stlur.app) passe un scan complet Nuclei + ZAP.

STLUR est à la fois l'auditeur et le sujet — nous utilisons notre propre produit. Les découvertes critiques sont corrigées sous 30 jours.

Cible mensuellestlur.app

Moteurs de scanNuclei + ZAP (DAST)

SLA critique< 30 jours

Format de rapportIdentique aux rapports clients

FréquenceMensuel (automatisé)

Feuille de route conformité

SOC 2 Type I en cours — Type II ciblé T4 2026

Les rapports STLUR aident à la collecte de preuves SOC 2 TSC. Ce sont des preuves complémentaires — pas une lettre d'opinion. Voici la feuille de route de certification de STLUR.

T1 2025Terminé

Contrôles de sécurité internes établis

T2 2025Terminé

Auto-audit mensuel automatisé avec STLUR

T3 2025En cours

Audit SOC 2 Type I — en cours

T4 2025

Rapport SOC 2 Type I publié

T4 2026

Objectif certification SOC 2 Type II

Réponse aux incidents

Réponse structurée avec des SLA définis

Détection et triage

La surveillance automatisée détecte les anomalies. L'ingénieur d'astreinte évalue la gravité.

SLA: < 1 heure

Confinement

Isoler les systèmes affectés. Révoquer les identifiants compromis. Préserver les preuves.

SLA: < 4 heures

Notification client

Les clients affectés sont informés de la portée de l'impact et des actions recommandées.

SLA: < 72 heures

Remédiation et post-mortem

Analyse de cause racine, correctif permanent déployé et revue post-incident publiée.

SLA: < 30 jours

Rétention et suppression des données

Périodes de rétention claires avec droit à la suppression

Résultats de scan

13 mois

Comparaison annuelle et analyse des tendances

Rapports PDF

13 mois

Archive de preuves d'audit ; chiffré dans R2 (AES-256)

Sauvegardes de BDD

7 jours PITR

Récupération à un instant donné pour les scénarios de catastrophe

Payloads éphémères

0 — détruits immédiatement

Pas de persistance ; le conteneur est détruit après exécution

Données lors de la suppression

30 jours

Période de grâce ; puis purgé définitivement de tous les systèmes

Journaux d'audit

12 mois

Investigation de sécurité et exigences de conformité

Sous-traitants

Prestataires tiers traitant des données

Nous minimisons le nombre de sous-traitants et évaluons soigneusement la posture de sécurité de chaque prestataire. Cette liste est mise à jour lors de tout changement.

Prestataire	Objectif	Données traitées	Localisation
Supabase	Base de données, authentification et sécurité au niveau des lignes	Données de compte, métadonnées de scan, lignes protégées RLS	US (AWS us-east-1)
Cloudflare	CDN, edge compute, stockage R2, DNS, protection DDoS	Rapports PDF (chiffrement AES-256), artefacts de scan, cache edge	Global
Vercel	Hébergement frontend, routes API serverless, ISR	Aucune donnée client persistante ; traitement éphémère	Global (Edge)
AWS (ap-northeast-1)	Exécution du scanner dans des conteneurs isolés (Lambda + Fargate)	Payloads de scan éphémères ; détruits après exécution	Asia-Pacific (Tokyo)
Stripe	Traitement des paiements, facturation des abonnements	Tokens de paiement uniquement ; STLUR ne stocke jamais de numéros de carte	US / EU
Anthropic (Claude)	Génération de rapports IA (analyse de texte uniquement ; aucun PII client envoyé)	Résultats de scan anonymisés → texte de rapport structuré	US
Resend	Envoi d'e-mails transactionnels (rapports mensuels, alertes)	Adresses e-mail, métadonnées de livraison	US

Divulgation de vulnérabilités

Politique de divulgation responsable (VDP)

Nous accueillons les chercheurs en sécurité pour signaler les vulnérabilités. Nous nous engageons à accuser réception sous 3 jours, évaluer sous 10 jours et résoudre sous 90 jours.

security@stlur.com

Périmètre

Inclus

stlur.app, app.stlur.app, API endpoints

SLA de réponse

Accusé < 3 jours, Évaluation < 10 jours

SLA de correction

Critique < 30 jours, Élevé < 60 jours, Autres < 90 jours

Safe harbor

Les chercheurs de bonne foi ne feront pas l'objet de poursuites

Accord de traitement

DPA conforme RGPD / CCPA / APPI disponible

Nous fournissons un accord de traitement des données (DPA) sur demande. Notre DPA couvre le RGPD, le CCPA et l'APPI. Contactez security@stlur.app. Réponse sous 2 jours ouvrés.

Demander un DPA

Dernière mise à jour : 2025-05-13

Questions sur nos pratiques de sécurité ? Contactez security@stlur.com

Politique de confidentialité Conditions d'utilisation Accueil