ConnexionEssai pilote

Sécurité

Vue d'ensemble des mesures techniques et organisationnelles mises en œuvre par Quaesis pour protéger vos données. Cette page sert de référence aux annexes Sécurité des DPA et facilite vos audits internes.

Dernière mise à jour : 2026-05-20

1. Philosophie

La sécurité est une obligation contractuelle (art. 32 RGPD, DPA) et un engagement produit. Quaesis applique les principes de défense en profondeur, du moindre privilège et de la minimisation des données.

2. Hébergement

L'application tourne sur Fly.io dans la région Paris (cdg). Les charges sont isolées en containers, les images de base sont mises à jour automatiquement, l'OS est durci par défaut.

3. Données au repos

Chiffrement AES-256 au repos chez tous les fournisseurs de stockage utilisés : Neon (Postgres), Cloudflare R2 (objets), backups gérés par le fournisseur. Les exports temporaires côté serveur sont chiffrés et purgés dans les 90 jours (cycle R2 lifecycle).

4. Données en transit

TLS 1.3 obligatoire. HSTS max-age=63072000 (2 ans), includeSubDomains, preload. Pas de dégradation TLS 1.0/1.1 acceptée. Certificats gérés par Fly.io.

5. Authentification

Better Auth(PostgreSQL + Drizzle). Mots de passe d'au moins 8 caractères, hash bcrypt. Vérification d'email obligatoire. Sessions de 7 jours avec refresh quotidien. Cookie de session : SameSite=Lax; Secure; HttpOnly. MFA / TOTP en roadmap.

6. Autorisations (RBAC)

Multi-tenant via le plugin Better Auth Organization. Rôles : owner, admin, member, viewer. Le panneau /adminest plan-gated (admin = plan, pas un flag sur l'utilisateur).

7. Logs et monitoring

  • Sentry — erreurs applicatives, PII scrubbée par défaut (scrubPii), pas de setUser sans consentement analytics.
  • Langfuse — traces de pipelines IA, conditionnées au consentement de l'utilisateur (cf. Cookies).
  • Journaux de sécurité conservés 6 mois(recommandation CNIL).

8. Réponse à incident

En cas d'incident de sécurité affectant des données personnelles, Quaesis applique :

  • qualification de la violation et constitution d'une cellule de crise immédiatement ;
  • notification à la CNIL dans les 72 heuressi l'incident est susceptible d'engendrer un risque pour les personnes (RGPD art. 33) ;
  • notification aux clients B2B titulaires d'un DPA dans les 48 heures suivant la prise de connaissance ;
  • communication aux personnes concernées si le risque est élevé (art. 34).

9. Divulgation responsable de vulnérabilités

Si vous découvrez une faille, contactez security@quaesis.com. Quaesis s'engage à : (i) accuser réception sous 48 h, (ii) ne pas engager de poursuites contre les chercheurs de bonne foi suivant ces règles (test sur compte personnel uniquement, pas d'exfiltration de données tiers, pas de déni de service), (iii) communiquer un calendrier de correction. Un security.txt RFC 9116 est exposé à /.well-known/security.txt. Aucun bug bounty formel n'est en place à ce stade — un remerciement public est offert pour les rapports valides.

10. Roadmap conformité

  • SOC 2 Type II— objectif d'ici 12 à 18 mois selon la croissance Enterprise.
  • ISO 27001 — étude de faisabilité.
  • MFA / TOTP — implémentation prévue.
  • SSO / SCIM Enterprise — implémentation prévue.
  • Watermarking C2PA des outputs IA — implémentation avant la fin de la période de grâce AI Act (2026-12-02).
Document soumis au droit français. En cas de divergence entre cette page et un document signé bilatéralement (DPA, contrat Enterprise), le document signé prévaut.