RetourSe connecter →

Sécurité & Conformité

Nous construisons Lucantis en startup, pas en banque. Voici ce que nous faisons vraiment pour protéger vos données — sans exagérer ni mentir.

Chiffrement de bout en bout

AES-256-GCM avec authentification pour toutes les données sensibles. TLS 1.3 en transit. Clés gérées via Doppler (jamais dans le code).

  • AES-256-GCM (authentifié)
  • IV aléatoire par chiffrement
  • Rotation des clés sans interruption
  • Mots de passe bcrypt (cost 12)

Isolation multi-tenant

Vos données sont strictement isolées de celles des autres entreprises, à deux niveaux indépendants.

  • Filtrage tenantId dans le code (100% des requêtes)
  • Row-Level Security PostgreSQL (defense-in-depth)
  • Tokens JWT tenant-scoped
  • Impossibilité de cross-tenant même en cas de bug

Journal d'audit immuable

Chaque action sensible est tracée via une chaîne de hash SHA-256. Toute falsification est détectable.

  • SHA-256 hash chain (type blockchain)
  • Vérifiable via API : /api/audit/verify
  • Conservation 24 mois minimum
  • Non modifiable via l'interface

Infrastructure France

Hébergement exclusivement en France. Aucun transfert de données hors UE pour les données clients.

  • OVH (Roubaix / Gravelines)
  • Sauvegardes toutes les 6 heures
  • Rétention 30 jours
  • Réseau privé DB non exposé

Contrôle d'accès RBAC

47 permissions granulaires par ressource et action. Chaque endpoint API est protégé individuellement.

  • 6 rôles built-in + rôles personnalisés
  • 2FA TOTP disponible
  • Verrouillage après 5 tentatives
  • Session 8h avec rotation

Rate limiting multi-niveaux

Protection contre les abus à plusieurs niveaux indépendants.

  • Login global : 20 req/min par IP
  • Login compte : 5 req/15min
  • API sensible : 30 req/min
  • Export : 5 req/heure par tenant

Ce que nous n'avons pas (encore)

La transparence est une valeur. Voici nos limites actuelles, honnêtement.

  • Pas encore certifié ISO 27001 (évaluation en cours pour 2027)
  • Pas de SOC 2 Type II (taille de l'équipe actuelle)
  • Pas de bug bounty formel (mais responsible disclosure accepté)
  • Failover manuel (pas de basculement automatique multi-région)
  • Pentest externe annuel prévu (pas encore réalisé)

RGPD & Protection des données

Localisation

Données hébergées en France (OVH). Aucun transfert hors UE pour vos données commerciales.

Vos droits

Accès, rectification, suppression, portabilité. Export disponible dans Paramètres, ou par e-mail à dpo@lucantis.fr

Conservation

Données actives pendant l'abonnement. Suppression sous 30 jours après résiliation. Audit log : 24 mois (obligation légale).

Une question sur la sécurité ?

Signalez une vulnérabilité à security@lucantis.fr · Données personnelles : dpo@lucantis.fr

Documentation technique complète