🔒 Sécurité certifiée

Sécurité & Conformité

GestiPilot est un SaaS noté A+ par Qualys SSL Labs, conforme RGPD, hébergé en France (OVH ISO 27001), avec chiffrement AES-256 des IBAN et architecture auditée selon OWASP Top 10 2021.

🏆 Certifications opposables

Des preuves externes, vérifiables publiquement, et non du marketing.

A+ SSL LabsNote maximale TLS. Vérifier →

HSTS PreloadSoumis aux listes Chrome/Firefox/Safari. HTTPS forcé même en 1ère visite.

OVH ISO 27001Datacenter Gravelines. Certificat hébergement renouvelé.

Stripe PCI-DSS L1Paiements sous-traités au plus haut niveau de certification.

Brevo HDSEmails transactionnels via prestataire Hébergeur Données de Santé.

RGPD 100%Registre ROPA, AIPD, DPO. Exercer mes droits →

🛡️ Mesures techniques

Défense en profondeur sur toute la chaîne.

🔐

Chiffrement AES-256-GCM

IBAN et données bancaires chiffrés en base avec clé hors-BDD. Rotation annuelle selon procédure NIST 800-57.

🔑

Mots de passe bcrypt cost 12

Hachage moderne résistant aux attaques GPU. Politique de passe 12 caractères minimum.

📱

2FA TOTP

Double authentification obligatoire pour admins, recommandée pour tous (Google Authenticator, Authy, YubiKey).

🔄

Rotation sessions

Tokens de session renouvelés toutes les heures, expiration automatique après 2h d'inactivité.

🛑

Rate limiting

5 tentatives login / 15 min, anti-DDoS L7 OVH Game, protection brute-force multi-couches.

📝

Audit trail complet

Toute action sensible journalisée, rétention 12 mois (recommandation CNIL).

📦

Sauvegardes chiffrées

Backups quotidiens OVH, rétention 30 jours, test de restauration trimestriel.

🧾

Tokens PDF éphémères

Liens de téléchargement signés TTL 5 min, usage limité, impossibles à réutiliser.

🛑

CSP stricte + nonce

Content Security Policy durcie, protection XSS, reporting en continu des violations.

📋 OWASP Top 10 2021

Architecture applicative auditée, score 10/10 sur les 10 catégories.

Catégorie OWASP	Statut	Mesures
A01 Broken Access Control	✅	Isolation multi-tenants + tokens PDF éphémères signés
A02 Cryptographic Failures	✅	TLS 1.3, HSTS preload, AES-256-GCM, bcrypt
A03 Injection	✅	100% requêtes PDO préparées
A04 Insecure Design	✅	Rate limiting, audit, separation of duties
A05 Security Misconfiguration	✅	Headers HTTP durcis, htaccess, display_errors off
A06 Vulnerable Components	✅	Composer audit hebdomadaire + SBOM CycloneDX
A07 Auth Failures	✅	2FA, rotation sessions, mots de passe forts
A08 Software/Data Integrity	✅	CSP, SBOM, pre-commit gitleaks
A09 Security Logging Failures	✅	Audit logs complet, rétention 12 mois
A10 SSRF	✅	Aucun fetch basé sur input utilisateur

🇪🇺 Conformité RGPD

Au-delà du cadre légal : transparence et pilotage actif.

📋 Registre des traitements (Art. 30)

Tous nos traitements documentés : finalité, base légale, durée de conservation. Mis à jour à chaque évolution produit.

🔍 AIPD / DPIA (Art. 35)

Analyses d'impact formelles sur les traitements à risque (paiements SEPA, IA, grands volumes).

👤 DPO désigné

Contact direct : dpo@gestipilot.com. Délai réponse 30 jours max.

🤝 DPA sous-traitants

Tous nos sous-traitants (OVH, Stripe, Brevo, Crisp, Anthropic) sous contrat DPA à jour.

⚖️ Droits 1-clic

Accès, rectification, suppression, portabilité, opposition. Exercer mes droits →

🚨 Notification violation 72h

Procédure formelle de notification CNIL conforme Art. 33-34, compteur 72h automatisé.

📖 Documentation & transparence

Politique de confidentialité

Intégralité des traitements et durées. Consulter →

Mentions légales

Éditeur, hébergeur, responsable publication. Consulter →

CGV

Conditions contractuelles. Consulter →

Vérification externe SSL

Scan Qualys en temps réel. Voir A+ →

Questions sur notre sécurité ?

Notre DPO répond sous 30 jours à toute question de conformité.

Contacter le DPO