Politique de Sécurité

1. Engagement sécurité

SentraFlow s'engage à protéger vos données et votre code source avec les plus hauts standards de sécurité. Cette politique détaille nos mesures de protection.

2. Architecture sécurisée

2.1 Principe de moindre privilège

• Accès GitHub : lecture seule uniquement sur les dépôts autorisés
• Permissions minimales : notre application demande uniquement les droits nécessaires
• Isolation : chaque analyse est traitée de manière isolée

2.2 Infrastructure sécurisée

• Hébergement : Vercel (infrastructure AWS sous-jacente)
• Réseau : communications chiffrées HTTPS/TLS 1.3

3. Protection des données

3.1 Chiffrement

• En transit : Toutes les communications utilisent HTTPS/TLS
• Au repos : Données chiffrées
• Authentification : OAuth 2.0 avec GitHub (standard industrie)
• API Keys : stockées de manière sécurisée avec rotation régulière

3.2 Accès aux données

• Authentification forte : OAuth GitHub obligatoire
• Sessions sécurisées : tokens temporaires avec expiration
• Monitoring : surveillance en temps réel des accès

4. Sécurité du code source

4.1 Traitement sécurisé

• Lecture seule : aucune modification possible de votre code
• Traitement temporaire : le code n'est pas stocké de manière permanente
• Isolation : chaque analyse est isolée des autres utilisateurs

5. Sécurité applicative

5.1 Développement sécurisé

• Code review : relecture systématique du code
• Tests de sécurité : tests automatisés et manuels
• Dépendances : audit régulier des bibliothèques tierces
• Mise à jour : application des correctifs de sécurité rapidement

5.2 Protection contre les menaces

• Injection : protection contre les injections SQL/NoSQL
• XSS : échappement et validation des données utilisateur
• CSRF : tokens anti-contrefaçon
• Rate limiting : protection contre les abus et déni de service

6. Gestion des incidents

6.1 Détection

• Monitoring 24/7 : surveillance continue de la plateforme
• Alertes automatiques : notification immédiate des anomalies
• Logs sécurisés : journalisation complète pour investigation
• Tests réguliers : audit de sécurité périodique

6.2 Réponse aux incidents

• Équipe dédiée : procédures d'escalade définies
• Containment : isolation immédiate en cas de problème
• Communication : notification transparente si nécessaire
• Post-mortem : analyse et amélioration continue

7. Conformité et audits

7.1 Standards respectés

• RGPD : conformité complète au règlement européen
• OWASP : application des bonnes pratiques de sécurité web
• OAuth 2.0 : authentification selon les standards
• TLS 1.3 : chiffrement aux standards actuels

7.2 Contrôles réguliers

• Audit interne : révision trimestrielle des mesures
• Tests de pénétration : évaluation externe de la sécurité
• Veille sécurité : suivi des vulnérabilités et correctifs
• Formation équipe : mise à jour des connaissances sécurité

8. Responsabilités partagées

8.1 Nos responsabilités

• Sécurité de l'infrastructure et de l'application
• Protection des données stockées
• Mise à jour des systèmes de sécurité
• Réponse aux incidents de sécurité

8.2 Vos responsabilités

• Sécurité de votre compte GitHub
• Choix des dépôts à analyser
• Signalement de problèmes de sécurité
• Utilisation conforme aux conditions d'utilisation

9. Services tiers et sécurité

9.1 Évaluation continue

• Audit régulier de nos fournisseurs
• Vérification des certifications de sécurité
• Contractualisation des exigences de sécurité
• Plan de continuité en cas de défaillance

10. Signalement de vulnérabilités

Si vous découvrez une vulnérabilité de sécurité :

10.1 Signalement responsable

• Email sécurisé : contact@sentraflow.com
• Description détaillée : étapes de reproduction
• Confidentialité : nous nous engageons à traiter discrètement
• Remerciements : reconnaissance publique si souhaité

10.2 Processus de correction

• Accusé de réception : sous 24h ouvrées
• Évaluation : analyse de l'impact et priorité
• Correctif : développement et déploiement sécurisé
• Suivi : vérification de l'efficacité du correctif

11. Continuité de service

11.1 Disponibilité

• Sauvegarde : données répliquées et sauvegardées
• Redondance : infrastructure haute disponibilité
• Monitoring : surveillance continue des performances
• Récupération : procédures de restauration testées

11.2 Plan de reprise

• RTO (Recovery Time Objective) : 4 heures maximum
• RPO (Recovery Point Objective) : 1 heure maximum
• Communication : information en temps réel sur le status
• Escalade : procédures claires en cas de problème majeur

12. Évolution de la sécurité

Cette politique de sécurité évolue avec :

• Les nouvelles menaces identifiées
• Les évolutions technologiques
• Les retours d'expérience et incidents
• Les changements réglementaires

Les mises à jour importantes vous seront communiquées.

13. Contact sécurité

Pour toute question de sécurité :

Email général : contact@sentraflow.com

La sécurité est un effort continu. Cette politique sera mise à jour régulièrement.