Sécurité & Confiance
Comment StartConsole protège vos données stratégiques. Chiffrement AES-256, conforme au RGPD et au CCPA, MFA entreprise, isolation des locataires au niveau des lignes.
DPA, liste des sous-traitants et réponses VSQ sont pré-préparés. Utilisez le formulaire ci-dessous pour les demander.
Chiffrement des données
Toute information personnelle stockée dans StartConsole est chiffrée au repos avec AES-256-GCM — le même standard utilisé par les institutions financières. Toutes les données en transit sont protégées par TLS 1.2 ou supérieur. HSTS est appliqué sur tous les domaines.
- Chiffrement AES-256-GCM pour toutes les données personnelles au repos
- TLS 1.2+ appliqué pour toutes les données en transit
- HSTS sur tous les domaines — pas de texte en clair
Contrôle d'accès et authentification
L'accès est contrôlé à plusieurs niveaux. L'authentification multifacteur TOTP est disponible pour tous les utilisateurs et obligatoire pour les comptes entreprise. Les JSON Web Tokens sont révocables — une session compromise peut être terminée instantanément. La sécurité au niveau des lignes dans la base de données empêche toute requête de retourner les données d'une autre organisation.
- MFA TOTP — disponible pour tous, obligatoire pour les entreprises
- Révocation JWT — invalidation de session en temps réel
- Sécurité au niveau des lignes : l'accès inter-locataires est architecturalement impossible
- CSP nonce sur chaque page — injection XSS bloquée au navigateur
- Limitation de débit sur tous les endpoints d'authentification via Upstash Redis
Conformité RGPD
StartConsole est conforme au RGPD. Les articles 15, 16, 17 et 33 sont implémentés en production — pas des déclarations de politique, mais des contrôles testables.
- Droit d'accès (Article 15) — endpoint d'export de données en production
- Droit de rectification (Article 16) — correction de données en libre-service
- Droit à l'effacement (Article 17) — purge complète à la suppression du compte
- Notification de violation (Article 33) — notification sous 72 heures implémentée dans le code
- DPA disponible sur demande pour tous les clients en juridiction RGPD
Conformité CCPA
Les quatre droits fondamentaux du consommateur en vertu du California Consumer Privacy Act sont opérationnels.
- Droit de savoir — divulgation des données personnelles disponible sur demande
- Droit de suppression — exécuté dans les 45 jours requis
- Droit de retrait — StartConsole ne vend pas de données personnelles
- Droit à la non-discrimination — aucune dégradation de service pour les demandes de droits
Sécurité des paiements
StartConsole ne stocke, ne traite ni ne transmet de données de carte de paiement. Toute la facturation est gérée par Paddle, un Merchant of Record certifié PCI DSS Niveau 1 — le niveau le plus élevé disponible.
- Zéro donnée de carte stockée sur l'infrastructure StartConsole
- Tous les paiements traités par Paddle — certifié PCI DSS Niveau 1
- Documentation de conformité Paddle disponible sur demande
Feuille de route conformité
Nous sommes transparents sur notre situation. Ces certifications nécessitent des auditeurs externes — pas seulement un effort d'ingénierie.
Prévu : 12–18 mois
Les contrôles sont prêts pour SOC 2. L'audit indépendant n'est pas encore terminé. Les clients entreprise peuvent demander la documentation des contrôles actuels.
Après SOC 2 Type II
Nécessite un audit ISMS formel. Séquençage correct — SOC 2 d'abord, ISO 27001 ensuite.
Prévu : T3 2026
Suivi de la disponibilité via Vercel et Sentry. Le SLA sera publié lorsqu'il sera soutenu par 12 mois de données vérifiées.
Besoin de documentation sécurité ?
DPA, liste des sous-traitants, réponses VSQ et documentation de chiffrement sont pré-préparés.
Demander la documentation