La sécurité de vos données est notre priorité absolue
SPHIOR est construit avec une architecture security-first. Nous publions nos pratiques de sécurité, feuille de route de conformité et liste de sous-traitants.
SOC 2
Type I en cours
TLS 1.2+
Tout le trafic chiffré
AES-256
Chiffrement au repos
GDPR
DPA disponible
Comment nous protégeons vos données
Chiffrement en transit
Tout le trafic est chiffré avec TLS 1.2+. HTTP redirigé vers HTTPS. HSTS forcé.
Chiffrement au repos
Toutes les données au repos sont chiffrées avec AES-256. Clés gérées par le fournisseur.
Contrôle d'accès (RLS)
La sécurité au niveau des lignes assure l'isolation des tenants. Endpoints admin protégés par MFA.
Protection des identifiants
Le scan authentifié Enterprise utilise un chiffrement AES-GCM 256-bit côté client avec une architecture de clé à deux couches HKDF.
Environnement de scan isolé
Les scanners s'exécutent dans des conteneurs éphémères (AWS Lambda + Fargate) détruits après chaque scan.
Surveillance continue
Santé de l'infrastructure, état du pipeline et taux d'erreur surveillés 24/7 avec alertes automatiques.
Nous nous auditons avec SPHIOR — chaque mois
SPHIOR exécute les mêmes scans automatisés sur sa propre infrastructure de production. Chaque mois, notre domaine (sphior.app) passe une évaluation complète des vulnérabilités externes et authentifiée.
SPHIOR est à la fois l'auditeur et le sujet — nous utilisons notre propre produit. Les découvertes critiques sont corrigées sous 30 jours.
Réponse structurée avec des SLA définis
Détection et triage
La surveillance automatisée détecte les anomalies. L'ingénieur d'astreinte évalue la gravité.
Confinement
Isoler les systèmes affectés. Révoquer les identifiants compromis. Préserver les preuves.
Notification client
Les clients affectés sont informés de la portée de l'impact et des actions recommandées.
Remédiation et post-mortem
Analyse de cause racine, correctif permanent déployé et revue post-incident publiée.
Périodes de rétention claires avec droit à la suppression
| Type de donnée | Rétention | Objectif |
|---|---|---|
| Résultats de scan | 13 mois | Comparaison annuelle et analyse des tendances |
| Rapports PDF | 13 mois | Archive de preuves ; chiffrement AES-256 |
| Sauvegardes BDD | 7 jours PITR | Récupération à un instant donné |
| Payloads éphémères | 0 — immédiat | Aucune persistance ; détruits après exécution |
| Données à la suppression | 30 jours | Période de grâce ; puis purgé |
| Journaux d'audit | 12 mois | Investigation et conformité |
Prestataires tiers traitant des données
Nous minimisons le nombre de sous-traitants et évaluons soigneusement la posture de sécurité de chaque prestataire. Cette liste est mise à jour lors de tout changement.
| Prestataire | Objectif | Données traitées | Localisation |
|---|---|---|---|
| Database Provider | Stockage de données, authentification et contrôle d'accès | Données de compte, métadonnées de scan, enregistrements à accès contrôlé | US |
| CDN & Edge Provider | Diffusion de contenu, edge compute, stockage chiffré, protection DDoS | Rapports PDF (chiffrement AES-256), artefacts de scan | Global |
| Application Host | Hébergement d'application et traitement des requêtes | Aucune donnée client persistante ; traitement éphémère | Global (Edge) |
| Cloud Infrastructure | Exécution du scanner dans des conteneurs isolés et éphémères | Payloads de scan éphémères ; détruits après exécution | Asia-Pacific (Tokyo) |
| Payment Processor | Traitement des paiements, facturation des abonnements | Tokens de paiement uniquement ; SPHIOR ne stocke jamais de numéros de carte | US / EU |
| AI Provider | Génération de rapports IA (analyse de texte uniquement ; aucun PII client envoyé) | Résultats de scan anonymisés → texte de rapport structuré | US |
| Email Delivery | Envoi d'e-mails transactionnels (rapports mensuels, alertes) | Adresses e-mail, métadonnées de livraison | US |
Politique de divulgation responsable (VDP)
Nous accueillons les chercheurs en sécurité pour signaler les vulnérabilités. Nous nous engageons à accuser réception sous 3 jours, évaluer sous 10 jours et résoudre sous 90 jours.
Périmètre
Inclus
sphior.app, app.sphior.app, API endpoints
SLA de réponse
Accusé < 3 jours, Évaluation < 10 jours
SLA de correction
Critique < 30 jours, Élevé < 60 jours, Autres < 90 jours
Safe harbor
Les chercheurs de bonne foi ne feront pas l'objet de poursuites
Générez votre DPA automatiquement
Notre système génère automatiquement un DPA conforme au RGPD, CCPA et APPI. Remplissez le formulaire et votre PDF signé sera prêt sous peu.
Dernière mise à jour : 2025-05-13
Questions sur nos pratiques de sécurité ? Contactez security@sphior.com