Cette traduction est fournie à titre indicatif. En cas de divergence entre les versions traduites, la version anglaise prévaut et fait juridiquement foi.
La sécurité est fondamentale dans tout ce que nous construisons chez Apiframe. Nous mettons en œuvre des mesures de sécurité complètes pour protéger vos données et assurer l'intégrité de notre plateforme.
Notre engagement : Sécurité de niveau entreprise, chiffrement de bout en bout, audits réguliers et pratiques transparentes. La sécurité de vos données est notre priorité.
1. Sécurité de l'infrastructure
Infrastructure cloud
Notre plateforme est construite sur une infrastructure cloud de premier plan avec :
- Centres de données certifiés SOC 2 Type II
- Redondance géographique sur plusieurs régions
- SLA de disponibilité de 99,9%
- Basculement automatisé et reprise après sinistre
- Protection et atténuation DDoS
Sécurité réseau
Nous protégeons notre réseau par :
- Web Application Firewall (WAF)
- Systèmes de détection et de prévention des intrusions
- Segmentation et isolation du réseau
- Analyse régulière des vulnérabilités
- Surveillance et alertes 24h/24 et 7j/7
2. Chiffrement des données
En transit
Toutes les données transmises vers et depuis nos services sont chiffrées en utilisant TLS 1.3 avec des suites de chiffrement robustes. Nous imposons HTTPS pour toutes les connexions et implémentons HSTS (HTTP Strict Transport Security).
Au repos
Les données stockées sur nos systèmes sont chiffrées en utilisant le chiffrement AES-256. Les clés de chiffrement sont gérées via un service de gestion de clés sécurisé avec rotation automatique.
| Type de données | Méthode de chiffrement | Gestion des clés |
|---|---|---|
| Trafic API | TLS 1.3 | Rotation automatique |
| Base de données | AES-256 | Géré par KMS |
| Sauvegardes | AES-256 | Clés séparées |
| Clés API | Hash Argon2id | Salt par utilisateur |
3. Authentification et contrôle d'accès
Authentification utilisateur
- Exigences de mot de passe sécurisées avec hachage bcrypt
- Support de l'authentification à deux facteurs (2FA)
- Gestion de session avec tokens sécurisés
- Expiration automatique des sessions
- Limitation du taux de tentatives de connexion
Authentification API
- Clés API uniques par utilisateur/projet
- Portée et permissions des clés
- Signature des requêtes pour les opérations sensibles
- Liste blanche d'IP (optionnel)
- Rotation des clés sans interruption
Accès interne
L'accès des employés aux systèmes de production suit le principe du moindre privilège. Tout accès nécessite une authentification multi-facteurs et est enregistré à des fins d'audit.
4. Sécurité applicative
Développement sécurisé
Nos pratiques de développement incluent :
- Revues de code axées sur la sécurité
- Analyse de sécurité automatisée (SAST/DAST)
- Surveillance des vulnérabilités des dépendances
- Pipelines CI/CD sécurisés
- Formation régulière à la sécurité pour les développeurs
Protection OWASP Top 10
Nous protégeons activement contre les vulnérabilités web courantes, notamment les attaques par injection, l'authentification défaillante, XSS, CSRF et autres risques du Top 10 OWASP.
5. Conformité
Nous maintenons la conformité avec les normes et réglementations de l'industrie :
| Standard | Statut | Description |
|---|---|---|
| SOC 2 Type II | Conforme | Sécurité, disponibilité, intégrité du traitement |
| GDPR | Conforme | Réglementation européenne sur la protection des données |
| CCPA | Conforme | Confidentialité des consommateurs californiens |
| ISO 27001 | En cours | Gestion de la sécurité de l'information |
6. Tests de sécurité
Tests d'intrusion
Nous effectuons des tests d'intrusion annuels réalisés par des sociétés de sécurité tierces indépendantes. Les résultats critiques sont traités immédiatement, avec une remédiation complète suivie et vérifiée.
Programme Bug Bounty
Nous maintenons un programme de divulgation responsable pour les chercheurs en sécurité. Si vous découvrez une vulnérabilité de sécurité, veuillez la signaler à [email protected].
Divulgation responsable : Nous apprécions les chercheurs en sécurité qui nous aident à maintenir la sécurité de la plateforme. Les rapports valides peuvent être éligibles pour une reconnaissance et des récompenses.
7. Réponse aux incidents
Notre programme de réponse aux incidents comprend :
- Surveillance et alertes de sécurité 24h/24 et 7j/7
- Procédures documentées de réponse aux incidents
- Équipe dédiée à la réponse aux incidents
- Notification des clients dans les 72 heures suivant les violations confirmées
- Analyse post-incident et amélioration
8. Confidentialité et conservation des données
Minimisation des données
Nous collectons et conservons uniquement les données nécessaires pour fournir nos services. Le contenu généré n'est pas stocké par défaut—les résultats vous sont retournés directement et ne sont pas conservés sur nos systèmes.
Conservation des données
- Journaux API : 90 jours
- Données de compte : Durée du compte + 30 jours
- Contenu généré : Non conservé (sauf opt-in)
- Registres de facturation : Selon la loi
Suppression des données
Vous pouvez demander la suppression de vos données personnelles à tout moment. Lors de la suppression du compte, nous supprimons toutes les données associées dans les 30 jours, sauf si la conservation est requise pour des raisons légales ou de conformité.
9. Sécurité des tiers
Nous examinons soigneusement tous les services tiers et fournisseurs de modèles IA. Notre évaluation de sécurité des fournisseurs comprend :
- Questionnaires de sécurité et examen de la documentation
- Vérification des certifications de conformité
- Accords de traitement des données
- Réévaluation régulière
10. Continuité des activités
Nos mesures de continuité des activités garantissent la fiabilité du service :
- Sauvegardes automatisées avec redondance géographique
- Tests de reprise après sinistre
- Capacités de déploiement multi-régions
- Objectifs RTO et RPO définis
Contact sécurité
Pour les demandes liées à la sécurité ou pour signaler des vulnérabilités :
- E-mail : [email protected]
- Temps de réponse : Dans les 24 heures pour les rapports de sécurité
Pour le support général, veuillez visiter notre page de contact ou contacter [email protected].