Confiance & Sécurité

Sécurité chez Auditora.ai

Nous prenons la sécurité de vos données au sérieux. Voici comment nous protégeons les informations de votre organisation.

Dernière mise à jour : avril 2026

Chiffrement des données

Toutes les données en transit sont protégées par le chiffrement TLS 1.3. Les données au repos sont chiffrées avec AES-256. Cela inclut toutes les cartographies de processus, évaluations des risques, transcriptions de sessions et données organisationnelles stockées sur notre plateforme.

  • TLS 1.3 en transit
  • AES-256 au repos
  • Clés de chiffrement gérées par le KMS du fournisseur cloud

Infrastructure

Auditora.ai est hébergé sur une infrastructure cloud de niveau entreprise. Notre couche applicative fonctionne sur Railway (soutenu par AWS), et notre base de données est hébergée sur Supabase (PostgreSQL sur AWS). Tous les composants d'infrastructure se trouvent dans des centres de données conformes SOC 2.

  • Application hébergée sur Railway (soutenu par AWS)
  • Base de données sur Supabase (PostgreSQL)
  • Sauvegardes quotidiennes automatisées avec récupération ponctuelle
  • Surveillance et alertes d'infrastructure 24/7

Contrôles d'accès

Nous mettons en œuvre des contrôles d'accès stricts pour garantir que vos données ne sont accessibles qu'aux utilisateurs autorisés au sein de votre organisation.

  • Contrôle d'accès basé sur les rôles (RBAC)
  • Isolation des données par organisation
  • Journaux d'audit pour toutes les actions administratives
  • Accès à privilège minimal pour les opérations internes

Authentification

Auditora.ai utilise Better Auth, un framework d'authentification moderne, supportant plusieurs méthodes d'authentification sécurisées pour protéger votre compte.

  • Passkeys (WebAuthn) pour connexion sans mot de passe
  • Authentification par lien magique par email
  • OAuth 2.0 (Google, GitHub, Microsoft)
  • Gestion sécurisée des sessions avec expiration automatique

Posture de conformité

Nous suivons les pratiques de sécurité SOC 2 Type II dans toute notre organisation. Bien que nous travaillions activement vers une certification formelle, nos contrôles de sécurité sont alignés sur les Critères des Services de Confiance.

  • Pratiques de sécurité alignées SOC 2
  • Traitement des données conforme au RGPD
  • Conforme CCPA / CPRA pour les résidents de Californie
  • Revues de sécurité régulières par des tiers

Résidence des données

Toutes les données clients sont stockées dans la région US East (Virginie) via notre infrastructure Supabase et Railway sur AWS. Si vous avez des exigences spécifiques en matière de résidence des données, contactez-nous pour discuter des options disponibles.

  • Région principale : US East (Virginie)
  • Fournisseur cloud : AWS (via Railway & Supabase)
  • Isolation des données locataires au niveau de la base de données

Réponse aux incidents

Nous maintenons un plan de réponse aux incidents documenté couvrant l'identification, le confinement, l'éradication et la récupération. En cas d'incident de sécurité affectant vos données, nous nous engageons à notifier les clients concernés dans les 72 heures, conformément au RGPD et aux meilleures pratiques du secteur.

  • Procédures de réponse aux incidents documentées
  • Engagement de notification client sous 72 heures
  • Revue et remédiation post-incident
  • Exercices réguliers de réponse aux incidents

Divulgation responsable

Nous valorisons la communauté de recherche en sécurité et accueillons la divulgation responsable des vulnérabilités. Si vous découvrez un problème de sécurité, veuillez nous le signaler.

  • Email : security@auditora.ai
  • Nous répondons aux signalements sous 48 heures
  • Nous créditons les chercheurs (avec consentement) pour les découvertes valides
  • Nous ne poursuivrons pas les chercheurs de bonne foi

Pratiques de sécurité

La sécurité est intégrée à chaque étape de notre cycle de développement logiciel.

  • Analyse automatisée des vulnérabilités des dépendances
  • Revue de code obligatoire pour tous les changements
  • Vérifications de sécurité dans le pipeline CI/CD
  • Tests de pénétration périodiques
  • Formation à la sensibilisation à la sécurité pour tous les membres de l'équipe

Questions sur la sécurité ?

Si vous avez des questions sur nos pratiques de sécurité ou devez signaler une vulnérabilité, nous sommes là pour vous aider.

Contacter l'équipe sécurité