Cadre de sécurité
Architecture Zero-Knowledge
Le serveur ne voit jamais les données en clair : - Chiffrement côté client (AES-256-GCM) - Clés jamais transmises au serveur - Métadonnées minimales
Defense in Depth
Sécurité en couches : - Chiffrement client - Chiffrement transport (TLS 1.3) - Chiffrement stockage (S3 SSE) - HSM pour signatures
RGPD (EU)
| Exigence | Implémentation | Statut |
| Minimisation | Zero-Knowledge | ✅ |
| Chiffrement | AES-256-GCM | ✅ |
| Droit à l'oubli | Soft delete | ✅ |
| Portabilité | Export API | ✅ |
eIDAS (EU)
| Exigence | Implémentation | Statut |
| Signature électronique | RSA-PSS 4096 | ✅ |
| Horodatage qualifié | RFC 3161 TSA | ✅ |
| Conservation qualifiée | S3 WORM | ✅ |
NF Z42-013 (France)
| Exigence | Implémentation | Statut |
| Intégrité | SHA3-256 | ✅ |
| Pérennité | WORM 10 ans | ✅ |
| Traçabilité | Audit trail | ✅ |
Certifications cibles
| Certification | Périmètre | Échéance |
| ISO 27001 | SMSI global | Q4 2025 |
| SOC 2 Type II | Sécurité | Q2 2026 |
| eIDAS QTSP | Services confiance | Q4 2026 |
Audits
Audits réguliers
- Pentest : Annuel (prestataire externe)
- Audit code : Semestriel (SonarQube + manuel)
- Revue architecture : Trimestriel
- Scan vulnérabilités : Mensuel (automatisé)
Derniers audits
| Date | Type | Résultat |
| - | - | À venir |
Incident Response
Classification
| Niveau | Description | SLA réponse |
| P1 | Critique (fuite données) | 1h |
| P2 | Majeur (service down) | 4h |
| P3 | Mineur (dégradation) | 24h |
| P4 | Faible (cosmétique) | 72h |
- Security Team : security@probatiovault.com
- DPO : dpo@probatiovault.com
Documents de référence
- Firewall UFW — Configuration pare-feu
Politique de sécurité (à venir)Plan de continuité (à venir)Procédure incident (à venir)Registre traitements RGPD (à venir)