Thinkbox CRM
Retour à l'accueil

Politique de sécurité

Dernière mise à jour : 7 janvier 2025

1. Notre engagement sécurité

Chez Thinkbox Digital, la sécurité de vos données est notre priorité absolue. Nous mettons en œuvre des mesures techniques et organisationnelles conformes aux meilleures pratiques de l'industrie et aux exigences du RGPD pour protéger vos informations personnelles et professionnelles.

2. Chiffrement des données

Chiffrement en transit

  • TLS 1.3 pour toutes les communications
  • HTTPS forcé sur toutes les pages
  • HSTS (HTTP Strict Transport Security) activé
  • Certificate pinning pour les applications mobiles

Chiffrement au repos

  • AES-256 pour le chiffrement de la base de données
  • Stockage de fichiers chiffré
  • Sauvegardes chiffrées
  • Clés de chiffrement gérées séparément (KMS)

Protection des données sensibles

  • Mots de passe hashés avec bcrypt (facteur 12)
  • Tokens de paiement gérés par Stripe (PCI-DSS)
  • Tokens OAuth chiffrés en base de données
  • Identifiants bancaires jamais stockés (Open Banking)

3. Authentification et contrôle d'accès

  • Authentification à deux facteurs (2FA) : Disponible via application d'authentification (TOTP)
  • OAuth 2.0 : Authentification sécurisée avec Google, Microsoft, LinkedIn
  • Gestion des sessions : Expiration automatique, option appareil unique, déconnexion forcée
  • Politique de mots de passe : Minimum 8 caractères, complexité requise, détection de fuites
  • Protection anti-brute force : Limitation de tentatives, verrouillage après échecs
  • Alertes de connexion : Notification email pour connexion depuis nouvel appareil/lieu

4. Sécurité de l'infrastructure

Vercel

Certifié SOC 2 Type II, protection DDoS automatique, réseau edge avec CDN global

Supabase

Certifié SOC 2 Type II, PostgreSQL avec RLS (Row Level Security), sauvegardes automatiques

Stripe

Certifié PCI-DSS Niveau 1 (plus haut niveau), données de carte ne transitent jamais par nos serveurs

Open Banking

Fournisseurs agréés PSD2/DSP2 (ACPR, FCA), SCA (Authentification Forte du Client)

5. Surveillance et détection

  • Monitoring des erreurs : Sentry (suivi des erreurs en temps réel)
  • Logs de sécurité : Toutes les authentifications et actions sensibles journalisées
  • Détection d'anomalies : Alertes pour patterns de connexion suspects
  • Monitoring de disponibilité : Surveillance 24/7 de la disponibilité du service
  • Monitoring de performance : Suivi des temps de réponse et utilisation des ressources

6. Réponse aux incidents

Nous disposons d'un plan de réponse aux incidents pour traiter rapidement tout événement de sécurité :

  1. Détection : Monitoring automatisé et signalements utilisateurs
  2. Analyse : Évaluation de l'impact et détermination du périmètre
  3. Confinement : Mesures immédiates pour limiter les dégâts
  4. Éradication : Élimination de la cause racine
  5. Récupération : Restauration du service et vérification
  6. Retour d'expérience : Analyse post-incident et améliorations

Notification RGPD

Conformément à l'article 33 du RGPD, les violations de données affectant des données personnelles seront notifiées à la CNIL dans les 72 heures. Les utilisateurs concernés seront informés sans délai en cas de risque élevé pour leurs droits.

7. Protection des données

Sauvegardes

  • Sauvegardes automatiques quotidiennes
  • Rétention de 30 jours
  • Sauvegardes chiffrées (AES-256)
  • Stockage géo-redondant
  • Tests de restauration réguliers

Isolation des données

  • Row Level Security (RLS) au niveau base de données
  • Chaque utilisateur ne peut accéder qu'à ses propres données
  • Vérification d'autorisation API sur chaque requête
  • Stockage de fichiers isolé par utilisateur

Minimisation des données

  • Seules les données nécessaires sont collectées
  • Suppression automatique des données après la période de rétention
  • Anonymisation des données analytiques
  • Données IA non utilisées pour l'entraînement (rétention zéro)

8. Sécurité organisationnelle

  • Principe du moindre privilège : Accès limité au strict nécessaire
  • Accords de confidentialité : NDA signés par tous les membres de l'équipe
  • Sensibilisation à la sécurité : Formation régulière aux bonnes pratiques de sécurité
  • Revue des accès : Revue trimestrielle des droits d'accès
  • Développement sécurisé : Revue de code, tests de sécurité, scan des dépendances

9. Conformité et certifications

  • RGPD: Conformité complète au Règlement Général sur la Protection des Données
  • PSD2/DSP2: Open Banking via fournisseurs AISP agréés
  • PCI-DSS: Traitement des paiements via Stripe (certifié Niveau 1)
  • SOC 2 des sous-traitants : Vercel, Supabase sont certifiés SOC 2 Type II

10. Amélioration continue

Nous révisons et améliorons régulièrement nos mesures de sécurité via :

  • Mises à jour régulières des dépendances et correctifs de sécurité
  • Évaluations périodiques de sécurité
  • Tests de pénétration (planifiés)
  • Veille continue sur les bonnes pratiques de sécurité
  • Intégration des retours utilisateurs

11. Signaler une vulnérabilité

Si vous découvrez une vulnérabilité de sécurité dans notre service, veuillez la signaler de manière responsable :

Email: security@thinkboxcrm.app

Veuillez inclure autant de détails que possible : description de la vulnérabilité, étapes pour reproduire, impact potentiel. Nous nous engageons à répondre sous 48 heures ouvrées.

12. Contact

Pour toute question concernant nos pratiques de sécurité :

Sécurité : security@thinkboxcrm.app
DPO: dpo@thinkboxcrm.app
Général : contact@thinkboxcrm.app

Voir également : Politique de confidentialitéCGUMentions légales & RGPD

Politique de confidentialitéConditions généralesPolitique de cookiesRGPD