Sécurité & confiance

Notre engagement sécurité

Nous traitons la sécurité comme une pratique d'ingénierie continue, pas comme un audit ponctuel. Nos principes : minimiser les données collectées, chiffrer tout en transit, contrôler les accès, journaliser les événements pertinents et corriger régulièrement les dépendances. Nous ne vendons pas de données personnelles et n'entraînons pas les fournisseurs d'IA externes sur vos contenus.

Infrastructure et hébergement

ImmoStory fonctionne sur une infrastructure dédiée basée dans l'UE : base de données de production, serveurs applicatifs et stockage objet sont hébergés dans des centres de données UE. Nous utilisons des déploiements en conteneurs derrière un reverse proxy avec terminaison TLS. Les environnements de production, staging et développement sont séparés, avec des identifiants indépendants et aucun secret partagé.

Chiffrement en transit et au repos

Tout le trafic vers et depuis la plateforme utilise TLS 1.2 ou supérieur avec des suites cryptographiques modernes. Les mots de passe sont stockés avec bcrypt et un facteur de travail élevé. Les secrets applicatifs sont conservés hors du dépôt de code et tournés lors des changements d'équipe. Les sauvegardes de base sont chiffrées au repos et tournent sur un cycle de 30 jours.

Contrôle d'accès et authentification

L'accès aux données de production est restreint à un petit nombre d'ingénieurs nommés, sécurisé par clés SSH, allowlist IP et authentification multifacteur. Les comptes clients supportent des mots de passe forts ; nous hachons les identifiants et ne stockons pas de plaintext récupérable. Les sessions JWT expirent en cas d'inactivité et peuvent être révoquées par l'utilisateur depuis les paramètres.

Monitoring et journaux d'audit

Les événements applicatifs, de facturation et d'authentification sont journalisés de manière centralisée avec une rétention limitée aux besoins opérationnels. Les erreurs sont capturées en temps réel afin que l'équipe puisse réagir aux régressions et aux schémas d'abus. Les comportements suspects déclenchent automatiquement un rate-limiting des sessions concernées.

Réponse aux incidents

Nous maintenons un runbook interne couvrant détection, confinement, éradication, restauration et post-mortem. Lors d'une violation de données personnelles confirmée susceptible de présenter un risque pour les droits des utilisateurs, nous notifions l'autorité de contrôle compétente dans les 72 heures conformément à l'article 33 du RGPD, et informons les utilisateurs concernés sans délai indu lorsque le risque est élevé.

RGPD et protection des données

Nous sommes basés dans l'UE et traitons les données clients sous le Règlement Général sur la Protection des Données. Notre Politique de confidentialité documente les bases légales, catégories de données, durées de conservation, sous-traitants et vos droits. Les transferts internationaux reposent sur les Clauses Contractuelles Types ou garanties équivalentes. Un Data Processing Agreement est disponible sur demande pour les clients professionnels.

Divulgation responsable

Si vous pensez avoir trouvé un problème de sécurité dans ImmoStory, merci de le signaler en privé à [email protected] avant toute divulgation publique. Nous nous efforçons d'accuser réception sous deux jours ouvrés et de coordonner un correctif sans action légale contre les chercheurs de bonne foi qui respectent la vie privée des utilisateurs et ne perturbent pas nos services.

Sous-traitants

Nous nous appuyons sur un nombre limité de sous-traitants vérifiés pour exploiter la plateforme. La localisation indique où les données sont principalement traitées. Lorsque les données quittent l'EEE, les transferts reposent sur les Clauses Contractuelles Types de la Commission européenne ou sur des garanties équivalentes proposées par le prestataire.

Cette liste est mise à jour lors de changements significatifs. Pour obtenir un Data Processing Agreement ou plus de détails, contactez [email protected].