Votre Confiance Est Notre Priorité
PactoTrust traite des données critiques : données fournisseurs, évaluations de conformité, informations financières sensibles. La sécurité des données n’est pas une option, c’est notre fondation.
Architecture de Sécurité
Infrastructure Cloud Sécurisée
Hébergement
Google Cloud Run (plateforme serverless managée par Google)
- Région de données : europe-west1 (Belgique)
- Données géographiquement localisées en UE
- Redondance : multi-zone (haute disponibilité)
- Gestion complète par Google
Base de Données
Supabase (PostgreSQL managé)
- Chiffrement au repos : AES-256
- Connexions : TLS 1.3 obligatoire
- Sauvegardes : quotidiennes, chiffrées
- Archivage : 90 jours minimum
Intégration API
Cloudflare Workers (edge computing)
- DDoS protection : automatique
- Rate limiting : protection contre les abus
- WAF : filtrage des requêtes malveillantes
- Web Application Firewall inclus
Authentification et Contrôle d’Accès
Authentification Multi-Niveaux
JWT (JSON Web Tokens)
- Tokens signés cryptographiquement, vérifiés côté serveur
- Durée de vie courte (15 minutes), refresh tokens sécurisés
- Pas de stockage de credentials en base (tokens uniquement)
Authentification 2FA (Double Facteur)
- 1er facteur : email/password (passwords hashés bcrypt avec salt)
- 2ème facteur : code OTP par email ou authenticator
- Obligatoire pour les administrateurs, recommandé pour tous les utilisateurs
Single Sign-On (SSO) · Plan Enterprise
- SAML 2.0 ou OIDC pour intégration avec Azure AD, Okta, Google Workspace
- Respect des configurations de sécurité d’entreprise
- MFA mandatoire, expired passwords, etc.
Contrôle d’Accès Granulaire (RBAC)
12 rôles prédéfinis disponibles :
Chaque rôle peut être restreint par fournisseurs, modules (RSE, Sapin II, anticorruption) et actions (lecture, écriture, suppression, approbation).
Chiffrement des Données
En Transit
- TLS 1.3 sur tous les points de communication (API REST, webhooks, exports)
- Certificats SSL/TLS valides, renouvelés automatiquement
- Pas de connection non-chiffrée tolérée (HTTP redirection forcée vers HTTPS)
Au Repos
- AES-256 pour les données sensibles (evaluations fournisseurs, documents uploadés)
- Clés de chiffrement stockées separément des données
- Clés d’entreprise managées via Google Cloud KMS (rotation automatique tous les 90j)
Webhooks Signés
- HMAC-SHA256 : chaque webhook contient une signature cryptographique
- Vous vérifiez la signature avec votre clé secrète
- Protection contre les rejeu d’attaque (timestamp + nonce)
API Hachées
- Clés API hashées en SHA-256 : stockées en hash irreversible
- Pas de clé stockée en plain text
- Rotation de clé API possible à tout moment
Audit Trail et Traçabilité
Journalisation Complète
Chaque action critique est enregistrée :
- Qui : utilisateur (ID, email, IP source)
- Quoi : action (créer fournisseur, modifier évaluation, télécharger rapport)
- Quand : timestamp exact (UTC)
- Où : module/ressource impactée
- Résultat : succès/erreur, changements apportés
Actions Tracées
- Authentification et déauthentification
- Création/modification/suppression de fournisseurs
- Mise à jour d’évaluation de conformité
- Changement de statut (approuvé, rejeté, à réviser)
- Uploads/downloads de documents
- Exports de rapports
- Modifications de droits d’accès utilisateur
- Appels API et webhooks
Rétention et Conformité
- Logs bruts : 12 mois minimum
- Logs archivés : 7 ans (conformité légale)
- Impossible à supprimer ou modifier (write-once)
- Export audit trail en format auditable (JSON, CSV)
- Filtrage par utilisateur, plage de date, type d’action
- Validation d’intégrité (hash de chaque log)
Conformité RGPD
Accord de Traitement des Données (DPA)
PactoTrust agit comme processeur de données pour vos données fournisseurs.
Engagement RGPD :
- Clause contractuelle standard (SCCs) conforme CJUE
- Documentation des tâches de traitement
- Registre de traitement accessible à la demande
- Analyse d’impact relative à la protection des données (AIPD) disponible
Droits des Personnes
Nous facilitons l’exercice des droits RGPD pour vos fournisseurs :
- Droit d’accès : téléchargement de leurs données
- Droit à la portabilité : export en format structuré (JSON, CSV)
- Droit à l’oubli : suppression de compte et données associées (30j)
- Droit de rectification : correction de données inexactes
Sous-traitants et Transferts
Sous-traitants connus :
- Google Cloud (infrastructure)
- Supabase (base de données managée)
- Cloudflare (CDN et DDoS protection)
- SendGrid (emails transactionnels)
Tous les sous-traitants sont sous contrat RGPD formalisé avec clauses de confidentialité et sécurité strictes.
Transferts de données vers tiers pays : Les transferts USA/pays tiers utilisent des clauses contractuelles standards (SCCs) validées par la CJUE (Schrems II) avec évaluation régulière des cadres légaux.
Délégué à la Protection des Données (DPO)
Email : dpo@pactotrust.com
Adresse : 17 rue Jean Wiener, 92100 Boulogne-Billancourt, France
Sécurité des Données Fournisseurs
Isolation Multi-Tenant
Chaque client bénéficie d’une isolation logique complète :
- Row-Level Security (RLS) en base de données
- Vérification du tenant à chaque requête API
- Cryptage de l’identifiant tenant pour éviter les énumérations
- Aucun cross-contaminant possible entre clients
Protection des Documents Uploadés
- Virus scanning : analyse antivirus à l’upload
- Format validation : vérification du type MIME
- Quotas : limite par utilisateur et par tenant
- Chaîne de traçabilité : qui a uploadé, quand, depuis où
Suppression Sécurisée
- Soft delete : données archivées, non immédiatement supprimées (30j de rétention)
- Hard delete : suppression physique après délai de rétention
- Irrécupérable : surwriting de secteurs disque si demandé
Certifications et Conformités
En Cours / Prévues
- SOC 2 Type II : audit annuel de contrôles de sécurité (en cours)
- ISO 27001 : système de management de la sécurité (feuille de route)
- Conformité NIS2 : directive cybersécurité européenne applicable 2025
Standards Respectés
- OWASP Top 10 : tests de sécurité réguliers
- NIST Cybersecurity Framework : alignement des contrôles
- Recommandations CNIL : bonnes pratiques données personnelles
Gestion des Incidents Sécurité
Processus d’Incident
- Détection : monitoring 24/7, alertes automatiques
- Confinement : isolation immédiate de la ressource impactée
- Analyse : investigation approfondie, chaîne de traçabilité
- Notification : vous informer dans les 72h si impact données (conformité RGPD)
- Correction : patch, update, déploiement
- Clôture : rapport post-mortem, améliorations
Responsable Sécurité : security@pactotrust.com
Nous encourageons la divulgation responsable de vulnérabilités via ce canal.
Bonnes Pratiques pour Vous
Recommandations
- Activez 2FA sur tous les comptes (obligation pour admin)
- Gérez les permissions finement (least privilege principle)
- Exportez régulièrement vos données en backup
- Consultez audit trail pour détecter les activités anormales
- Mettez à jour vos mots de passe tous les 3 mois
En Cas de Suspicion
Contactez immédiatement : security@pactotrust.com avec :
- Description de la suspicion
- Quand avez-vous détecté le problème
- Comptes/ressources potentiellement affectées
Questions Récurrentes
Non, jamais. Vos données de fournisseurs restent votre propriété et ne sont partagées qu’avec les sous-traitants listés (cloud, email, monitoring) sous contrats RGPD stricts.
Partiellement : vous pouvez exporter l’audit trail de vos actions. Pour les logs système, contactez support@pactotrust.com pour cas spécifiques (investigation incident, audit externe).
Oui, région Google Cloud europe-west1 (Belgique) par défaut. Enterprise peut demander configurations régionales spécifiques.
Oui. Redondance multi-zone (Google gère cela), backups quotidiens. RTO < 1h, RPO < 15min. SLA 99.5% pour Enterprise.
Bien sûr. Contactez sales@pactotrust.com pour négocier des clauses de sécurité spécifiques à votre cadre réglementaire (banque, assurance, defense, etc).