Alloovium

Sécurité & Conformité

Sécurité et confidentialité chez Alloovium

Vos documents de construction contiennent des informations commerciales sensibles. Les protéger est fondamental dans tout ce que nous construisons.

SOC 2 Type I en coursChiffrement AWS KMSHébergé à Sydney, Australie
01

Gouvernance

Notre équipe de sécurité établit des politiques et des contrôles, surveille la conformité et prouve notre posture de sécurité aux auditeurs.

La conformité est gérée via Vanta, avec un responsable technique de la sécurité dédié supervisant toutes les opérations de sécurité.

Nos politiques de sécurité reposent sur les principes fondateurs suivants :

01

Moindre privilège

L'accès est limité aux seules personnes ayant un besoin commercial légitime, appliqué via le contrôle d'accès basé sur les rôles.

02

Défense en profondeur

Les contrôles de sécurité sont superposés sur les niveaux réseau, application et données — aucun point de défaillance unique.

03

Isolation des locataires

Les données de chaque organisation sont complètement isolées au niveau de la base de données. L'accès inter-locataires est architecturalement impossible.

04

Amélioration continue

Les contrôles de sécurité sont itératifs, évoluant continuellement grâce à la surveillance, aux analyses et à la réponse aux incidents.

Sécurité et conformité chez Alloovium

Alloovium poursuit actuellement la certification SOC 2 Type I et ISO 27001. Notre programme de conformité est géré via Vanta, permettant une surveillance continue de nos contrôles de sécurité et une collecte automatisée des preuves.

SOC 2 Type IISO 27001Certifications en cours
02

Protection des données

Données au repos

  • Tous les documents stockés dans AWS S3 avec chiffrement KMS
  • Base de données PostgreSQL chiffrée via le chiffrement RDS
  • Les clients Enterprise peuvent provisionner BYOK (Apportez Votre Propre Clé)

Données en transit

  • TLS 1.2 ou supérieur appliqué sur toutes les connexions
  • HTTP Strict Transport Security (HSTS) avec max-age d'un an
  • Communication interne entre services via canaux chiffrés
  • SSL appliqué sur toutes les connexions à la base de données

Gestion des secrets

  • Toutes les informations d'identification stockées dans AWS Secrets Manager
  • Aucun secret en clair dans le code ou la configuration
  • Informations d'identification séparées pour les environnements de staging et de production
  • Les définitions de tâches référencent les secrets via des références ARN sécurisées
03

Sécurité de l'infrastructure

Infrastructure cloud AWS

Alloovium fonctionne sur AWS dans la région ap-southeast-2 (Sydney, Australie), utilisant des conteneurs sans serveur sur ECS Fargate avec équilibrage de charge multi-AZ. Notre infrastructure est conçue avec la ségrégation réseau comme principe fondamental.

Ségrégation réseau

  • VPC privé avec ségrégation de sous-réseaux public/privé
  • Bases de données et caches isolés dans des sous-réseaux privés
  • Seuls les équilibreurs de charge exposés dans les sous-réseaux publics
  • Toutes les charges de travail applicatives fonctionnent avec l'IP publique désactivée

Connectivité privée

  • Points de terminaison VPC (PrivateLink) pour S3, ECR, SQS, Secrets Manager
  • Aucun trafic de base de données ne traverse l'internet public
  • Les groupes de sécurité appliquent des règles strictes d'entrée/sortie
  • Les services worker ont un accès entrant tout refusé

Ségrégation des environnements

Les environnements de staging et de production sont complètement séparés — différentes bases de données, informations d'identification, files d'attente, secrets et équilibreurs de charge. Une compromission en staging ne peut pas affecter les données de production.

Bases de données

Séparé par env

Clés d'auth

Séparé par env

Files SQS

Séparé par env

Secrets

Séparé par env

04

Sécurité applicative

En-têtes de sécurité

Content Security Policy (CSP) avec scripts basés sur des nonces, X-Frame-Options : DENY, X-Content-Type-Options, Referrer-Policy et Permissions-Policy désactivant caméra, microphone et géolocalisation.

Validation des entrées

Détection basée sur des motifs pour l'injection SQL, XSS, traversée de chemin et injection de commande. Limites de taille des requêtes appliquées. Points de terminaison de téléchargement de fichiers validés.

Limitation du débit

La limitation du débit par niveaux est configurable via les paramètres d'environnement : les points de terminaison d'authentification ont un seuil plus élevé pour les vérifications fréquentes, avec des limites séparées pour les routes standard, d'ingestion, de chat et de recherche.

CORS & validation de l'hôte

Pas d'origines CORS génériques en production — seuls les domaines alloovium.com sont autorisés. La validation de l'en-tête d'hôte prévient les attaques par injection.

Validation de production fail-fast

À chaque déploiement, notre application valide les paramètres de sécurité au démarrage — origines CORS, configuration JWT, limitation du débit et paramètres d'authentification. Si une vérification échoue, l'application refuse de démarrer.

05

Contrôle d'accès

  1. 01AuthentificationAuthentification de niveau entreprise via Clerk avec prise en charge de l'e-mail/mot de passe, Google et Microsoft SSO. Authentification à deux facteurs optionnelle (TOTP) avec codes de sauvegarde.
  2. 02Accès basé sur les rôlesQuatre niveaux de rôles — Administrateur, Gestionnaire, Membre, Lecteur — avec sécurité au niveau des lignes dans la couche de base de données. Toutes les requêtes API limitées à l'organisation de l'utilisateur authentifié.
  3. 03Sécurité des APIVérification JWT (RS256) via JWKS sur chaque requête API. Secrets JWT appliqués à un minimum de 64 caractères. La validation au démarrage en production bloque les déploiements mal configurés.
06

Surveillance & détection des menaces

Amazon GuardDuty

Détection continue des menaces sur les journaux CloudTrail, les journaux de flux VPC, les journaux DNS, les événements de données S3 et l'activité de connexion RDS.

Actif — zéro constatation à ce jour

Journalisation centralisée

Journalisation applicative structurée avec traçage des requêtes (ID de requête, ID d'utilisateur, ID de locataire) sur tous les services via CloudWatch. Les données sensibles sont automatiquement exclues des journaux.

Rétention des journaux 30 joursJournaux d'audit 365 jours

Analyse des vulnérabilités

Dependabot activé pour l'analyse automatisée des dépendances et de la sécurité. L'analyse de composition logicielle (SCA) identifie les vulnérabilités connues dans notre chaîne de dépendances. Mises à jour régulières des dépendances avec priorisation des correctifs de sécurité.

Réponse aux incidents

Plan de réponse aux incidents documenté maintenu en état de préparation. Rôles de sécurité dédiés avec des voies d'escalade claires.

Zéro incident de sécurité signalé

07

Confidentialité des données

Vos documents sont vos données. Nous n'utilisons jamais les documents clients pour entraîner des modèles d'IA. Tout le traitement des documents se fait dans notre infrastructure sécurisée, et l'accès est strictement limité aux utilisateurs authentifiés au sein de votre organisation.

Résidence des données

Infrastructure principale hébergée à Sydney, Australie (AWS ap-southeast-2). Le stockage des documents et les bases de données restent dans la région.

Accès aux documents

Documents servis via des URL pré-signées à durée limitée avec une expiration de 15 minutes. Aucune URL publique permanente n'est générée.

Suppression des données

Les documents supprimés sont retirés du stockage et des index de recherche. Vous pouvez demander la suppression complète des données de votre compte à tout moment.

Des questions sur nos pratiques de sécurité ?

Nous sommes heureux de discuter en détail de notre posture de sécurité. Contactez notre équipe pour plus d'informations.