Cette page décrit les mesures de sécurité intégrées à Tracore. Nous privilégions des pratiques concrètes et vérifiables plutôt que des affirmations que nous ne pourrions pas étayer. Nous ne détenons à ce stade aucune certification de sécurité formelle et n’en revendiquons aucune.
Authentification
Les comptes utilisateurs sont gérés par une bibliothèque d’authentification
éprouvée. Les mots de passe sont hachés avant stockage ; nous ne les stockons
jamais en clair. Les sessions utilisent des cookies httpOnly, définis avec
SameSite=Lax, afin de réduire l’exposition aux attaques inter-sites.
Clés API
L’accès à l’API utilise des clés émises via notre couche d’authentification. Les
clés sont hachées au repos, portent un préfixe dsk_ pour faciliter leur
identification et peuvent être révoquées à tout moment depuis vos paramètres.
Traitez vos clés API comme des secrets et renouvelez-les si vous suspectez une
exposition.
Données au repos
- Les documents sont stockés dans un stockage d’objets hébergé dans l’Union européenne.
- Les clés de fournisseur que vous connectez (BYOK) sont chiffrées avec AES-256-GCM avant stockage.
- Les sauvegardes de la base de données sont gérées via notre hébergeur.
Données en transit
Tout le trafic vers Tracore est chiffré en transit avec TLS 1.2 ou supérieur. Nous utilisons Cloudflare en mode Full (strict) SSL, de sorte que les connexions sont chiffrées de bout en bout.
Isolation des locataires
Tracore est multi-locataire. L’accès à vos données est délimité par des vérifications de propriété au niveau de l’espace de travail, et une couche de contexte par requête applique cette délimitation à chaque appel d’API, de sorte qu’un locataire ne peut pas atteindre les données d’un autre locataire.
Sécurité des paiements
Les paiements sont traités via le paiement hébergé de notre prestataire de paiement. Les données de carte sont saisies directement chez le prestataire et ne transitent pas par nos systèmes ni n’y sont stockées, ce qui maintient notre périmètre PCI au minimum.
Divulgation des vulnérabilités
Nous publions un contact de sécurité à /.well-known/security.txt. Si vous pensez avoir trouvé un problème de sécurité, veuillez le signaler à security@tracore.io. Nous n’exploitons pas encore de programme de prime aux bogues rémunéré — c’est une fonctionnalité que nous prévoyons d’ajouter.
Réponse aux incidents
En cas de violation de données personnelles susceptible d’affecter vos droits, nous nous efforçons de notifier les utilisateurs concernés et l’autorité compétente dans un délai de 72 heures, conformément au RGPD.