ArchiCollab

Politique de Sécurité

Mesures de protection et sécurité de vos données

Notre engagement sécurité

ArchiCollab s'engage à protéger vos données et celles de vos clients avec les meilleures pratiques de sécurité de l'industrie.

1. Vue d'ensemble

Cette politique décrit les mesures techniques et organisationnelles mises en place pour assurer la sécurité, l'intégrité et la confidentialité des données hébergées sur ArchiCollab.

2. Infrastructure et hébergement

2.1 Architecture cloud

Infrastructure distribuée
▸
Application :Hébergée sur Vercel (infrastructure globale, edge functions)
▸
Base de données :Neon PostgreSQL (serverless, chiffrement au repos)
▸
CDN :Cloudflare pour protection DDoS et optimisation
▸
Stockage :Vercel Blob avec sauvegardes automatiques

2.2 Localisation des données

Les données sont principalement stockées dans l'Union Européenne avec des réplications pour assurer la haute disponibilité. Les transferts internationaux sont encadrés par des accords de protection des données.

3. Chiffrement

3.1 Chiffrement en transit

Protection des communications
  • HTTPS obligatoire avec TLS 1.3 minimum
  • Certificats SSL/TLS renouvelés automatiquement
  • HSTS (HTTP Strict Transport Security) activé
  • Perfect Forward Secrecy pour toutes les connexions

3.2 Chiffrement au repos

Les données sensibles sont chiffrées au repos dans nos bases de données. Les documents PDF et fichiers uploadés sont stockés de manière sécurisée avec contrôle d'accès strict.

4. Authentification et contrôle d'accès

4.1 Authentification forte

  • OAuth 2.0 exclusif : Via Google et Magic Link
  • Pas de mots de passe : Élimine les risques liés aux mots de passe faibles
  • Sessions sécurisées : Tokens JWT avec expiration automatique
  • Révocation immédiate : Possibilité de révoquer l'accès instantanément

4.2 Gestion des permissions

Principe du moindre privilège
  • Permissions basées sur les rôles (RBAC)
  • Isolation stricte entre agences (multi-tenancy)
  • Contrôles d'accès au niveau projet et document
  • Journalisation de tous les accès sensibles

5. Protection des données

5.1 Sauvegardes

  • Fréquence : Sauvegardes automatiques continues
  • Rétention : Points de restauration sur plusieurs jours
  • Géo-réplication : Copies dans plusieurs zones géographiques
  • Tests : Vérifications régulières de restauration

5.2 Plan de continuité

En cas d'incident majeur, nos procédures permettent une restauration du service avec un objectif de reprise d'activité adapté aux besoins professionnels.

6. Surveillance et détection

6.1 Monitoring en temps réel

Détection proactive
  • Surveillance 24/7 des systèmes
  • Détection d'anomalies et tentatives d'intrusion
  • Alertes automatiques en cas d'incident
  • Logs centralisés et analyse comportementale

6.2 Protection contre les menaces

  • DDoS : Protection Cloudflare Enterprise
  • Injections : Validation stricte des entrées
  • XSS/CSRF : Protections natives dans l'application
  • Brute force : Limitation du taux de requêtes

7. Gestion des incidents

7.1 Procédure de réponse

  1. Détection : Identification immédiate de l'incident
  2. Confinement : Isolation des systèmes affectés
  3. Évaluation : Analyse de l'impact et des données concernées
  4. Notification : Information des parties concernées selon RGPD
  5. Remédiation : Correction et renforcement des mesures
  6. Documentation : Rapport détaillé et leçons apprises

7.2 Communication

En cas d'incident de sécurité affectant vos données, vous serez notifié dans les meilleurs délais avec des informations claires sur l'impact et les mesures prises.

8. Conformité et audits

8.1 Standards respectés

Conformité réglementaire
  • RGPD (Règlement Général sur la Protection des Données)
  • Recommandations ANSSI pour les services cloud
  • Bonnes pratiques OWASP pour la sécurité web
  • Standards de l'industrie pour les SaaS B2B

8.2 Audits et tests

Nous effectuons régulièrement :

  • Tests de pénétration par des experts indépendants
  • Revues de code de sécurité
  • Audits de conformité
  • Exercices de réponse aux incidents

9. Sécurité des développements

9.1 Cycle de développement sécurisé

  • Revue de code : Validation par plusieurs développeurs
  • Tests automatisés : Suite complète de tests de sécurité
  • Analyse statique : Détection automatique de vulnérabilités
  • Dépendances : Mises à jour régulières et scan de vulnérabilités

9.2 Environnements isolés

Développement, test et production sont strictement séparés avec des données anonymisées en environnements de test.

10. Formation et sensibilisation

Notre équipe suit régulièrement des formations sur :

  • Les dernières menaces de sécurité
  • Les bonnes pratiques de développement sécurisé
  • La protection des données personnelles
  • La réponse aux incidents

11. Responsabilité partagée

11.1 Notre responsabilité

  • Sécurité de l'infrastructure et de la plateforme
  • Protection des données stockées
  • Maintien des mesures de sécurité
  • Réponse aux incidents

11.2 Votre responsabilité

  • Gestion sécurisée des accès utilisateurs
  • Protection de vos appareils d'accès
  • Formation de vos équipes
  • Signalement rapide des incidents suspects

12. Amélioration continue

Cette politique est revue et mise à jour régulièrement pour refléter l'évolution des menaces et des meilleures pratiques de sécurité. Nous investissons continuellement dans l'amélioration de notre posture de sécurité.

13. Contact sécurité

Signaler un problème de sécurité

Si vous découvrez une vulnérabilité potentielle, merci de nous contacter immédiatement :

  • Email urgent : security@archicollab.com
  • Support général : support@archicollab.com

Note : Cette politique présente nos mesures de sécurité de manière transparente. Pour des raisons évidentes, certains détails techniques spécifiques ne sont pas divulgués publiquement.

Dernière mise à jour : 20/03/2026
Version 1.0

© 2024 ArchiCollab - Groupe J - 2A rue Pasteur, 57360 Amnéville