Sécurité & conformité

Notre engagement

Vos données — ventes, recettes, employés, fournisseurs, finances — sont au cœur de votre activité. Bistrevo applique les standards de l'industrie SaaS B2B et s'engage contractuellement sur les mesures détaillées ci-dessous.

1. Hébergement en Union européenne

• Bases de données PostgreSQL hébergées dans des datacenters européens (région UE-Ouest, Pays-Bas / France).
• Front-end Next.js distribué via CDN avec serveurs de fonctions en Europe.
• Aucun transfert de données hors UE sans garanties appropriées.

2. Chiffrement

• En transit :TLS 1.3 minimum sur toutes les communications. HTTPS forcé via HSTS.
• Au repos : chiffrement AES-256 des disques base de données et des sauvegardes.
• Secrets : jamais en clair dans le code, gestion via coffre-fort dédié.

3. Isolation multi-tenant

Chaque client dispose d'un espace logique strictement isolé. La séparation est appliquée à chaque requête par un identifiant d'organisation (tenant_id) injecté côté serveur. Aucun client ne peut accéder, même par erreur, aux données d'un autre.

4. Authentification et accès

• Authentification par JWT à courte durée de vie + refresh token.
• Mots de passe hachés avec algorithme bcrypt à coût élevé.
• Rôles fins (gestionnaire / employé avec permissions par module) et principe du moindre privilège.
• Journalisation des connexions sensibles (impersonation admin, export complet, suppression de compte).

5. Sauvegardes et continuité

• Sauvegardes automatiques quotidiennes, conservées 30 jours.
• Restauration testée régulièrement (point-in-time recovery jusqu'à 7 jours).
• Engagement contractuel de disponibilité 99,5 % sur le mois glissant.
• Plan de continuité d'activité documenté et revu chaque trimestre.

6. Conformité RGPD

• Bistrevo agit en qualité de sous-traitantau sens de l'article 28 du RGPD.
• Accord de Sous-Traitance (DPA) standardisé, signé avec chaque client à la souscription.
• Liste publique et tenue à jour de nos sous-traitants ultérieurs (voir notre politique de confidentialité).
• Export complet des données et droit à l'effacement intégrés au produit (espace Paramètres → Compte).
• Procédure de notification des violations de données dans les 72 heures, conformément à l'article 33 du RGPD.

7. Sécurité applicative

• Audit automatique des dépendances (npm audit, pip-audit) et patching mensuel.
• Monitoring temps réel des erreurs serveur et alertes 24/7.
• Protection contre les injections SQL (ORM SQLAlchemy avec requêtes paramétrées) et XSS (échappement automatique React/Next.js).
• Rate-limiting sur les endpoints sensibles (auth, exports).

8. Gestion des incidents

En cas d'incident impactant le service ou la confidentialité des données, vous êtes informés par email dans les meilleurs délais, et au plus tard :

• 2 heures pour une indisponibilité majeure ;
• 72 heures pour une violation de données personnelles (article 33 RGPD).

9. Vos droits

Vous pouvez à tout moment exercer vos droits RGPD : accès, rectification, suppression, portabilité, opposition, limitation. Contactez-nous à rgpd@bistrevo.com ou utilisez les outils en self-service dans votre espace client.

10. Signaler une vulnérabilité

Vous avez identifié une faille de sécurité ? Écrivez-nous à security@bistrevo.com. Nous nous engageons à accuser réception sous 48 heures et à vous tenir informé du traitement.

Roadmap conformité

Nous nous engageons à faire évoluer nos certifications au fur et à mesure de notre croissance. Objectifs à 18 mois : audit ISO 27001 simplifié, qualification SecNumCloud pour les clients du secteur public.