Légal

Sécurité

Dernière mise à jour : 12 mai 2026 , v1.0

Cette page décrit les mesures de sécurité que nous appliquons pour protéger tes données et les données de tes utilisateurs.

Hébergement et données

  • Base de données : Supabase, région UE par défaut (Francfort). Postgres managé, sauvegardes quotidiennes, point-in-time recovery 7 jours.
  • Frontend et fonctions serverless : Vercel (régions UE et US selon les routes).
  • Stockage objets : Supabase Storage, isolation par workspace.

Chiffrement

  • En transit : TLS 1.3 sur tous les endpoints publics. HSTS activé sur les domaines de production.
  • Au repos : AES-256 pour la base de données et le stockage objets, AES-256-GCM pour les secrets workspace (tokens OAuth, clés API tierces).
  • Mots de passe : jamais stockés en clair, hash bcrypt via Supabase Auth.

Isolation des données

  • Row Level Security (RLS) activée sur 76+ tables Postgres. Chaque requête est filtrée par appartenance au workspace, sans bypass super_admin en production (sauf pour le super-admin global de la plateforme Freelance OS).
  • Cookies de session : HttpOnly, Secure, SameSite. Aucun accès JavaScript aux tokens d'authentification.

Authentification

  • Email / mot de passe via Supabase Auth
  • MFA TOTP disponible (Google Authenticator, Authy, 1Password, etc.)
  • Sessions limitées dans le temps, rotation des refresh tokens
  • Verrouillage automatique après plusieurs échecs

Journalisation et détection

  • Logs d'audit applicatifs (actions sensibles : connexion, modification de rôle, suppression de données, action super_admin)
  • Logs d'infrastructure Vercel et Supabase
  • Alertes sur événements suspects (connexions inhabituelles, échecs répétés, opérations en masse)

Sous-traitants

Nos sous-traitants techniques sont sélectionnés pour leur niveau de sécurité (PCI-DSS pour Stripe, ISO 27001 et SOC 2 pour Vercel et Supabase, etc.). Voir /sous-traitants.

Tests et amélioration continue

  • Mises à jour de sécurité appliquées rapidement (dépendances NPM, Postgres, Node.js)
  • Revue manuelle du code pour les fonctionnalités sensibles (auth, billing, suppression de données)
  • Analyse régulière des journaux d'audit

Plan de continuité

  • Sauvegardes quotidiennes Supabase avec rétention 7 jours, restauration testée
  • Code source versionné sur GitHub avec stratégie de branche dev / main
  • Documentation de l'infrastructure et des procédures de restauration

Signalement d'une vulnérabilité

Si tu découvres une vulnérabilité, contacte-nous à security@freelance-os.fr (à défaut, contact@freelance-os.fr avec l'objet "Security disclosure"). Nous accusons réception sous 72 heures et nous nous engageons à ne pas engager d'action légale contre les chercheurs de sécurité agissant de bonne foi (responsible disclosure).

Merci de respecter les principes suivants :

  • Ne pas exfiltrer plus de données que nécessaire à la démonstration
  • Ne pas dégrader le service
  • Nous laisser un délai raisonnable pour corriger avant publication

Évolution

Cette page est mise à jour à chaque évolution matérielle de notre posture de sécurité.

Contact

contact@freelance-os.fr, security@freelance-os.fr