Skip to main content

Sécurité chez Amianto.info

Dernière mise à jour : avril 2026

Nous prenons très au sérieux la sécurité de notre plateforme et des données qui nous sont confiées. Cette page décrit les mesures techniques et organisationnelles que nous mettons en œuvre pour protéger Amianto.info, nos clients et leurs utilisateurs.

1. Infrastructure et Hébergement

Amianto.info fonctionne sur une infrastructure moderne et entièrement gérée, reposant sur les fournisseurs suivants, qui maintiennent tous des opérations conformes aux normes SOC 2, ISO 27001 et RGPD :

  • Vercel — hébergement de l'application et réseau mondial de diffusion de contenu avec des points de présence en Europe.
  • Supabase — base de données PostgreSQL gérée, authentification et stockage d'objets sur AWS.
  • Stripe — traitement des paiements certifié PCI DSS Niveau 1.
  • Geoapify — infrastructure de géocodage et de cartographie basée dans l'UE.

2. Chiffrement

Toutes les données échangées entre les utilisateurs et Amianto.info sont chiffrées en transit via TLS 1.2 ou supérieur, avec HSTS appliqué sur tous les domaines de production. Les données personnelles et le contenu client stockés dans notre base de données et notre stockage d'objets sont chiffrés au repos via AES-256.

3. Authentification et Contrôle d'Accès

Les mots de passe des utilisateurs ne sont jamais stockés en clair. Nous nous appuyons sur le hachage de mots de passe avec sel, conforme aux standards de l'industrie, géré par Supabase Auth. La plateforme prend en charge l'authentification par e-mail et mot de passe, et est conçue pour prendre en charge des fournisseurs supplémentaires et l'authentification multi-facteurs.

L'accès interne aux systèmes de production suit le principe du moindre privilège : seul un nombre minimal d'ingénieurs autorisés dispose d'un accès administratif, et tout cet accès est journalisé.

4. Sécurité Applicative

Notre base de code suit les pratiques modernes de développement sécurisé :

  • Validation des entrées côté serveur et requêtes paramétrées pour prévenir les injections SQL.
  • Échappement de sortie et en-têtes Content Security Policy pour atténuer le cross-site scripting (XSS).
  • Protection CSRF sur les endpoints modifiant l'état.
  • Politiques CORS strictes et attributs same-site sur les cookies.
  • Analyse automatisée des dépendances et application rapide des correctifs pour les vulnérabilités connues.
  • Revue de code pour chaque modification avant son passage en production.

5. Sécurité des Paiements

Tous les paiements sont traités par Stripe, un prestataire de paiement certifié PCI DSS Niveau 1. Les numéros de carte, les codes CVV et les dates d'expiration ne transitent jamais par les serveurs d'Amianto.info — ils sont envoyés directement depuis votre navigateur à Stripe via leur interface Elements hébergée. Nous ne stockons qu'un identifiant d'abonnement et les quatre derniers chiffres de la carte comme référence de facturation.

6. Sauvegardes et Reprise après Sinistre

La base de données de production est sauvegardée automatiquement par Supabase, avec la récupération point-in-time activée. Nous testons régulièrement les procédures de restauration pour garantir que les données peuvent être récupérées en cas d'incident. Les ressources statiques et le code de l'application sont versionnés dans Git et peuvent être redéployés en quelques minutes à partir de n'importe quel commit historique.

7. Supervision et Réponse aux Incidents

Nous surveillons en continu la disponibilité de l'application, le taux d'erreurs et les principaux signaux de sécurité. En cas d'incident affectant des données personnelles, notre procédure de réponse comprend :

  • Tri immédiat et confinement du problème.
  • Enquête sur la cause profonde et l'étendue de l'incident.
  • Notification des clients concernés sans retard indu et dans les 72 heures lorsque le RGPD l'exige.
  • Examen post-incident et mesures correctives pour éviter qu'il ne se reproduise.

8. Résidence des Données

Nous hébergeons les données des clients dans des régions conformes aux normes européennes de protection des données. Lorsque les données doivent être transférées en dehors de l'EEE — par exemple à des sous-traitants basés aux États-Unis tels que Stripe ou Vercel — nous nous appuyons sur les Clauses Contractuelles Types et sur les garanties supplémentaires requises par Schrems II et la Décision d'exécution (UE) 2021/914.

9. Divulgation Responsable

Nous accueillons favorablement les rapports de vulnérabilités de sécurité émis par des chercheurs indépendants. Si vous pensez avoir trouvé une vulnérabilité dans Amianto.info, veuillez nous contacter en privé à l'adresse ci-dessous avant de la divulguer publiquement. Nous nous engageons à :

  • Accuser réception de votre rapport dans un délai de 5 jours ouvrables.
  • Enquêter sur le problème et vous tenir informé de nos progrès.
  • Vous mentionner dans nos remerciements de sécurité (si vous le souhaitez) une fois le problème résolu.
  • Ne pas engager d'action en justice contre les chercheurs agissant de bonne foi et dans le cadre de cette politique.

Veuillez ne pas effectuer de tests qui pourraient dégrader le service, exfiltrer de véritables données d'utilisateurs ou porter atteinte à la vie privée d'autres utilisateurs.

10. Contact

Pour signaler un problème de sécurité ou poser toute question sur nos pratiques de sécurité, veuillez écrire à :

contact@amianto.info