Politique de Sécurité & Protection des Données

Nos serveurs et données sont hébergés sur des infrastructures conformes aux standards internationaux :

Les données sont physiquement stockées dans des centres de données européens ou partenaires soumis à des Clauses Contractuelles Types (SCC) approuvées par la Commission Européenne.

SARGO applique plusieurs couches de protection :

• 🔒
  Chiffrement des données en transit

  SSL/TLS 1.3 sur toutes les communications.

• 🔐
  Chiffrement des données au repos

  AES-256 sur les disques et sauvegardes.

• 🧩
  Authentification sécurisée

  Via Supabase Auth (JWT, OAuth 2.0, RLS).

• 🧱
  Row Level Security (RLS)

  Pour garantir que chaque utilisateur ne peut accéder qu'à ses propres données.

• 🧠
  Mots de passe hashés

  Avec bcrypt (10 salts minimum).

• Sauvegardes automatiques quotidiennes, conservées pendant 30 jours.
• Réplication en temps réel des bases critiques (read-replica).
• Tests de restauration réalisés chaque trimestre.
• Objectif de RTO < 24 h (Recovery Time Objective) en cas d'incident majeur.

• Accès administrateur restreint à une poignée de collaborateurs identifiés.
• Connexions sécurisées par authentification multifactorielle (2FA).
• Gestion des droits en fonction des rôles (RBAC).
• Session utilisateur automatiquement expirée après période d'inactivité prolongée.

• Revue de code continue et pipeline CI/CD sécurisé.
• Surveillance OWASP Top 10 (injections, XSS, CSRF, etc.).
• Correctifs de sécurité déployés en priorité sous 48 h après détection.
• Tests d'intrusion périodiques effectués par des partenaires externes.
• Notification immédiate en cas de faille détectée impactant des utilisateurs.

En cas d'incident de sécurité, SARGO applique un plan de réponse en 4 étapes :

1. Détection et isolation de l'incident (monitoring Supabase + logs).
2. Évaluation de la portée et impact potentiel.
3. Notification des utilisateurs concernés sous 72 h (conformément au RGPD).
4. Correction et documentation complète de l'événement.

SARGO agit à la fois comme :

• Responsable du traitement pour les comptes utilisateurs,
• Sous-traitant pour les données que les clients saisissent dans leur environnement.

Nos engagements :

• Consentement explicite et transparent pour toute collecte de donnée.
• Droit d'accès, de rectification, d'effacement et de portabilité garantis.
• Conservation limitée à la durée nécessaire au service.
• Aucune utilisation des données à des fins commerciales sans accord.
• Transferts hors UE encadrés par des clauses contractuelles types (SCC).

Contact RGPD : hugo@sargo.app

Nos applications suivent un protocole de développement sécurisé :

• Revue de code systématique avant chaque déploiement.
• Déploiements signés et validés par CI/CD (Vercel + Supabase).
• Vérification statique du code (lint, vulnérabilités NPM, dépendances).
• Isolation des environnements (prod, staging, dev) avec jeux de clés distincts.
• Journalisation et suivi des actions critiques (connexion, suppression, export).

• Tous les collaborateurs et partenaires signent une clause de confidentialité stricte.
• Les postes de travail sont protégés par chiffrement disque et verrouillage automatique.
• Sensibilisation annuelle à la sécurité et au RGPD.
• Accès aux données clients uniquement pour raisons de support et avec autorisation préalable.

SARGO encourage la responsible disclosure.
Si vous identifiez une vulnérabilité, contactez :
📩 hugo@sargo.app

Nous accusons réception dans les 24 heures ouvrées,
et vous informons de la résolution dans un délai maximal de 7 jours.

Aucune poursuite ne sera engagée en cas de divulgation responsable, respectueuse et non intrusive.

La présente politique de sécurité peut évoluer afin de s'adapter :

• aux progrès technologiques,
• aux exigences légales,
• ou à la croissance de SARGO.

Toute mise à jour majeure sera notifiée sur le site et par e-mail aux utilisateurs.