Konforme Sécurité Dernière mise à jour avril 2026

Comment nous protégeons vos données.

La sécurité chez Konforme.

En tant que plateforme de conformité, nous nous imposons les mêmes standards que ceux que nous aidons nos clients à atteindre. Toutes les données sont traitées et stockées au sein de l’Union européenne. Nous suivons les principes de protection des données dès la conception, chiffrons toutes les données au repos et en transit, et maintenons des contrôles d’accès stricts. Cette page décrit nos pratiques de sécurité en détail.

i. Infrastructure & hébergement.
Hébergement exclusivement dans l’UE
Toute l’infrastructure fonctionne dans la région AWS eu-west-1 (Irlande). Aucune donnée n’est transférée ou traitée dans des juridictions hors UE. Notre base de données, nos serveurs applicatifs et nos services de messagerie résident tous au sein de l’UE.
Chiffrement au repos
Toutes les données stockées dans notre base de données PostgreSQL sont chiffrées au repos avec AES-256. Les identifiants cloud fournis par les utilisateurs sont en outre chiffrés avant stockage via un chiffrement au niveau applicatif.
Chiffrement en transit
Toutes les connexions utilisent TLS 1.2 ou supérieur. HSTS est appliqué avec un max-age d’un an incluant les sous-domaines. Nous utilisons des suites de chiffrement modernes et mettons régulièrement à jour notre configuration TLS.
Sécurité réseau
Notre application fonctionne dans un VPC privé avec des règles de groupes de sécurité strictes. La base de données n’est pas accessible publiquement. Tout accès administratif nécessite un VPN et une authentification MFA.
ii. Sécurité applicative.
Authentification
Authentification basée sur JWT avec des jetons cryptographiquement sécurisés (secrets.token_urlsafe). Vérification par e-mail obligatoire pour tous les comptes. Le hachage des mots de passe utilise bcrypt avec des sels uniques par utilisateur.
Limitation de débit
Tous les points d’accès d’authentification sont soumis à des limites de débit : connexion (5/min), inscription (3/min), vérification e-mail (10/heure), réinitialisation de mot de passe (5/heure). Les points d’accès API ont des limites par utilisateur pour prévenir les abus.
Protection CSRF
La protection contre les attaques Cross-Site Request Forgery est activée sur tous les points d’accès authentifiés. Nous utilisons le modèle de double soumission de cookie avec les attributs de cookie SameSite.
Validation des entrées
Toutes les entrées utilisateur sont validées et assainies côté serveur à l’aide de schémas Pydantic. Nous protégeons contre l’injection SQL, le XSS et les autres vulnérabilités du OWASP Top 10.
En-têtes de sécurité
Content Security Policy stricte, X-Frame-Options: DENY, X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin, et en-têtes Permissions-Policy sur toutes les réponses.
Accès cloud en lecture seule
Lors de l’analyse de votre infrastructure AWS ou Azure, Konforme utilise des identifiants en lecture seule. Nous ne modifions jamais vos ressources cloud. Les identifiants sont chiffrés au repos et peuvent être révoqués à tout moment.
iii. Protection des données & RGPD.

Konforme est conçu pour être conforme au RGPD dès sa conception. Nous ne collectons que les données nécessaires à la fourniture de notre service. Les données des utilisateurs ne sont jamais vendues à des tiers. La suppression de compte entraîne la suppression définitive de toutes les données associées, y compris les résultats de scan, les réponses d’évaluation et les identifiants.

Pratique Détail
Minimisation des données Nous ne collectons que ce qui est nécessaire à l’évaluation de conformité. Pas de pixels de suivi, pas d’outils d’analyse tiers.
Droit à l’effacement La suppression de compte entraîne la suppression de toutes les données utilisateur. Les identifiants cloud sont effacés immédiatement lors de la suppression douce du compte.
Portabilité des données Exportez vos données de conformité en rapports PDF à tout moment. Les données d’évaluation peuvent être exportées sur demande.
Sous-traitants AWS (hébergement), Netlify (site marketing), SES (e-mail transactionnel). Tout le traitement est effectué dans l’UE.
Notification de violation En cas de violation de données, les utilisateurs concernés seront notifiés dans les 72 heures conformément aux exigences du RGPD.
iv. Divulgation responsable.

Si vous découvrez une vulnérabilité de sécurité dans Konforme, veuillez la signaler à konform@konforme.io. Nous prenons tous les signalements au sérieux et répondrons dans les 48 heures. Nous vous demandons de nous accorder un délai raisonnable pour corriger le problème avant toute divulgation publique.