Pratiques Volontaires de Sécurité
Dernière mise à jour : 2026-03-15
Notre engagement en matière de sécurité
Veleiras traite les souvenirs personnels avec le même soin que les familles qui nous confient leurs histoires. La sécurité n'est pas une simple fonctionnalité — c'est un principe fondateur.
Cette page décrit les pratiques techniques et organisationnelles que nous adoptons volontairement, alignées sur des normes reconnues internationalement.
Alignement avec le RGPD
Bien que Veleiras ne traite pas de données à grande échelle, nous appliquons les principes du Règlement général sur la protection des données (RGPD) de l'Union européenne sur l'ensemble de la plateforme.
- Principes (Art. 5 RGPD) — Traitement conforme aux principes de licéité, de limitation des finalités, de minimisation des données, d'exactitude, de limitation de la conservation, d'intégrité et de confidentialité.
- Base juridique (Art. 6 RGPD) — Chaque opération de traitement repose sur une base juridique claire : consentement explicite ou exécution contractuelle.
- Minimisation des données — Nous ne collectons que le strict nécessaire pour fournir le service. Aucun suivi comportemental, aucun profilage publicitaire.
- Droits des personnes concernées — Accès, rectification, effacement, portabilité et opposition au traitement sont disponibles à tout moment via les paramètres du compte ou par contact direct.
- Sous-traitants (Art. 28 RGPD) — Tous les prestataires tiers sont liés par des accords de traitement des données conformes au RGPD.
- Chiffrement — Toutes les données sont chiffrées en transit (TLS 1.2+) et au repos (AES-256).
- Protection des données dès la conception (Art. 25 RGPD) — La vie privée est intégrée dans l'architecture du système dès le départ, et non ajoutée après coup.
- Notification des violations — En cas de violation de données personnelles, nous nous engageons à notifier l'autorité de contrôle compétente dans un délai de 72 heures et à informer les personnes concernées sans retard injustifié, conformément aux Art. 33/34 RGPD.
Pratiques alignées sur la norme ISO 27001
Nous appliquons des contrôles techniques inspirés de la norme ISO/IEC 27001 pour la gestion de la sécurité de l'information.
- Contrôle des accès — L'accès au système et aux données est restreint au personnel autorisé par la séparation des rôles utilisateur et administrateur, avec vérification des privilèges administrateur à chaque requête.
- Politique de mots de passe — Hachage avec bcrypt, exigences minimales de complexité et protection contre les attaques par force brute.
- Gestion des sessions — Les sessions sont limitées dans le temps, liées à une empreinte d'appareil, régénérées périodiquement et entièrement invalidées à la déconnexion.
- HTTPS obligatoire — Tout le trafic est acheminé via des connexions HTTPS avec des certificats valides et HSTS activé.
- En-têtes de sécurité — Content-Security-Policy, X-Frame-Options, X-Content-Type-Options et Referrer-Policy configurés sur toutes les réponses.
- Limitation des requêtes — Protection contre les abus par limitation du débit sur les points d'authentification et les API.
- Journaux d'audit — Les événements de sécurité tels que les connexions, les échecs d'authentification et les modifications de permissions sont enregistrés avec horodatage et identifiants pseudonymisés. Nous étendons progressivement la couverture d'audit à tous les services.
- Validation des entrées — Toutes les entrées utilisateur sont validées et assainies côté serveur pour prévenir l'injection de code et le XSS.
Principes SOC 2 (Trust Services Criteria)
Nos pratiques opérationnelles suivent les critères de services de confiance définis par l'AICPA dans le cadre du SOC 2.
- Sécurité — Les systèmes sont protégés contre les accès non autorisés grâce aux pare-feu applicatifs, à la limitation du débit, à la protection CSRF et à l'empreinte de session.
- Disponibilité — L'infrastructure est hébergée chez des fournisseurs offrant des garanties de haute disponibilité. Nous évaluons des mesures supplémentaires de redondance et de sauvegarde à mesure que la plateforme se développe.
- Confidentialité — Les données des utilisateurs sont isolées, chiffrées et accessibles uniquement au personnel autorisé, avec des contrôles d'accès stricts.
- Vie privée — La collecte, l'utilisation, la conservation et la suppression des données personnelles suivent des politiques claires et transparentes.
Infrastructure et prestataires tiers
Nous sélectionnons des prestataires qui respectent les normes les plus exigeantes en matière de sécurité et de protection des données.
- Hébergement — Serveurs dans l'Union européenne avec chiffrement au repos, sauvegardes quotidiennes et isolation réseau.
- CDN et protection DDoS — Distribution mondiale du contenu avec atténuation automatique des attaques par déni de service.
- Paiements — Traités par un prestataire certifié PCI DSS Niveau 1. Veleiras ne stocke jamais de données de carte bancaire.
- Suivi — Nous n'utilisons aucun service d'analyse tiers, aucun pixel de suivi ni cookie intersites. Les données d'utilisation agrégées sont collectées en interne et de manière anonyme si nécessaire.
Contact pour les questions de sécurité
Si vous découvrez une vulnérabilité ou avez des questions sur nos pratiques de sécurité, veuillez nous contacter. Nous répondons à tous les signalements de sécurité sous 48 heures.
privacy@veleiras.com
Cette page décrit des pratiques volontaires de sécurité. Elle ne constitue ni une garantie juridique ni une certification formelle.
← Retour à Veleiras