Retour

Politique de Sécurité

Dernière mise à jour : 14 février 2025

1. Notre engagement

Chez Dailii, la sécurité de vos données est une priorité absolue. En tant que plateforme de gestion de CRA traitant des données professionnelles sensibles, nous mettons en œuvre des mesures techniques et organisationnelles rigoureuses pour protéger vos informations.

2. Architecture de sécurité

2.1 Isolation des données (Multi-Tenant)

Dailii repose sur une architecture multi-tenant avec isolation totale des données entre entreprises. Chaque entreprise dispose de son propre espace cloisonné grâce au Row Level Security (RLS) appliqué directement au niveau de la base de données PostgreSQL. Aucun utilisateur ne peut accéder aux données d'une autre entreprise, même en cas de tentative de manipulation d'API.

2.2 Contrôle d'accès basé sur les rôles (RBAC)

Quatre niveaux de rôles permettent un contrôle granulaire des permissions :

  • Admin : accès complet à toutes les fonctionnalités
  • Manager : validation CRA, vue équipe, gestion missions
  • Consultant : gestion de ses propres CRA et missions
  • Freelance : déclaration CRA limitée à ses missions

3. Protection des données en transit

  • Toutes les communications sont chiffrées via HTTPS/TLS 1.3
  • Les certificats SSL sont gérés automatiquement
  • Les connexions à la base de données sont chiffrées
  • Les communications avec les services tiers sont chiffrées

4. Protection des données au repos

  • Base de données PostgreSQL avec chiffrement AES-256
  • Sauvegardes automatiques quotidiennes
  • Les mots de passe sont hachés avec des algorithmes cryptographiques sécurisés (bcrypt)
  • Les tokens d'authentification sont signés avec JWT et ont une durée de vie limitée

5. Authentification et sessions

  • Authentification par email et mot de passe sécurisée
  • Politique de mot de passe avec longueur minimale obligatoire
  • Mécanisme de réinitialisation de mot de passe sécurisé par email
  • Gestion de sessions avec tokens JWT à durée limitée
  • Possibilité de désactiver un compte utilisateur (bloque l'accès immédiatement)

6. Paiements sécurisés

Les paiements sont gérés par un prestataire certifié PCI-DSS niveau 1. Aucune donnée de carte bancaire n'est stockée sur nos serveurs. Les transactions sont sécurisées par authentification 3D Secure lorsque requise par l'émetteur de la carte.

7. Infrastructure

  • Hébergement : infrastructure sécurisée localisée en Union Européenne
  • Base de données : PostgreSQL avec isolation par entreprise
  • CDN : réseau de distribution global pour des temps de réponse optimaux
  • Monitoring : surveillance continue de la disponibilité et des performances

Option hébergement sur-mesure : pour les entreprises ayant des exigences spécifiques, Dailii peut être déployé sur votre propre infrastructure (on-premise, cloud privé). Contactez-nous pour en savoir plus.

8. Gestion des incidents

En cas d'incident de sécurité, nous nous engageons à :

  • Identifier et contenir l'incident dans les meilleurs délais
  • Notifier les utilisateurs concernés dans un délai de 72 heures
  • Notifier la CNIL si l'incident implique des données personnelles
  • Documenter l'incident et mettre en place des mesures correctives

9. Signaler une vulnérabilité

Si vous découvrez une faille de sécurité, merci de nous la signaler de manière responsable à : hello@aveniaconsulting.com

Nous nous engageons à traiter votre signalement avec sérieux et à vous tenir informé des suites données.