Sécurité & conformité

Vos données, protégées.

Maliya est conçu pour répondre aux exigences des directions des systèmes d'information : hébergement européen, chiffrement, isolation stricte et conformité RGPD.

Hébergé dans l'UE Chiffré TLS + AES-256 Isolation RLS Conforme RGPD

Hébergement dans l'Union européenne

Vos données applicatives sont hébergées par Supabase au sein de l'UE. L'infrastructure web s'appuie sur Vercel avec distribution sécurisée par CDN.

Chiffrement de bout en bout

Chiffrement en transit (TLS 1.2+, HSTS) et au repos (AES-256 côté base). Les mots de passe sont hachés (bcrypt) et ne sont jamais stockés en clair.

Isolation stricte par organisation

Chaque organisation est cloisonnée au niveau de la base de données par Row Level Security (PostgreSQL). Un client ne peut techniquement accéder qu'à ses propres données.

En-têtes de sécurité durcis

Content-Security-Policy, anti-clickjacking (X-Frame-Options), anti-MIME-sniffing, Permissions-Policy restrictive. Surface d'attaque minimisée.

Gestion des accès & rôles

Comptes nominatifs, rôles (propriétaire, admin, membre), sessions sécurisées par cookies httpOnly. Aucun secret n'est exposé côté client.

Conformité RGPD

Registre des traitements, droits des personnes (accès, rectification, effacement, portabilité), sous-traitants documentés. DPO joignable à tout moment.

Sauvegardes & continuité

Sauvegardes automatiques quotidiennes de la base de données, restauration point-in-time, redondance de l'infrastructure d'hébergement.

Intelligence artificielle responsable

Les fonctions IA (Anthropic Claude) ne transmettent que les données nécessaires à la réponse. Vos données ne sont pas utilisées pour entraîner les modèles.

Journalisation & traçabilité

Les accès et actions sensibles sont journalisés afin de garantir la traçabilité et de faciliter les audits de sécurité.

Principes d'architecture

Multi-tenant sécurisé
Chaque organisation est isolée logiquement par Row Level Security au niveau PostgreSQL.
Moindre privilège
Les accès sont restreints au strict nécessaire ; les fonctions sensibles sont réservées aux administrateurs.
Secrets externalisés
Aucune clé ni secret dans le code source ; tout est géré via variables d'environnement chiffrées.
Défense en profondeur
Sécurité appliquée à plusieurs niveaux : réseau, application, base de données et navigateur.

Questions fréquentes des DSI

Q. Où sont stockées nos données ?

Exclusivement au sein de l'Union européenne (Supabase), conformément au RGPD. Aucune donnée métier n'est transférée hors UE pour le stockage.

Q. Un autre client peut-il voir nos données ?

Non. L'isolation est garantie au niveau de la base par Row Level Security : chaque requête est filtrée par organisation. C'est une protection structurelle, pas seulement applicative.

Q. Que se passe-t-il avec l'IA ?

Seules les données strictement nécessaires à une réponse sont transmises au modèle, le temps de la requête. Elles ne sont pas conservées ni utilisées pour l'entraînement.

Q. Pouvons-nous récupérer / supprimer nos données ?

Oui. Vous pouvez exporter vos données à tout moment et demander leur suppression. Les pièces comptables sont conservées selon les obligations légales (10 ans).

Q. Proposez-vous un contrat de sous-traitance (DPA) ?

Oui, un accord de traitement des données peut être fourni sur demande à contact@maliya.fr.

Une question sécurité ou un audit à mener ?

Notre équipe répond aux questionnaires sécurité et fournit la documentation nécessaire (DPA, mesures techniques).

Contacter l'équipe sécurité

Éditeur : JARVIS · Société par actions simplifiée (SAS) · RCS Créteil. Politique de confidentialité