Six couches entre
vos données et un mauvais jour.
La version courte de la façon dont nous protégeons vos données. La version plus longue se trouve dans le DPA. La version la plus longue, nous l'envoyons à votre équipe achats si elle le demande.
Chiffrement partout
TLS 1.3 en transit, AES-256 au repos. Base de données, sauvegardes, journaux — chiffrés par défaut, aucune activation requise.
Sécurité au niveau des lignes
Multi-tenant imposé au niveau de la base de données via Postgres RLS. Les bugs applicatifs ne peuvent pas divulguer les données d'un autre tenant car la requête ne les renvoie jamais.
Clés API à portée limitée
Chaque clé API appartient à une seule organisation. Révocable depuis le tableau de bord. Les clés sandbox existent comme un type distinct, afin que le trafic de test n'affecte jamais les quotas en production.
Journal d'audit en chaîne de hachage
Chaque action modifiant l'état est inscrite dans un journal d'audit en ajout seul. Chaque entrée hache la précédente — toute altération est détectable. Conservé 7 ans.
Résidence des données dans l'UE
Base de données principale à Francfort (eu-west-1). Les fonctions edge servent occasionnellement depuis des régions hors UE pour la latence, avec des Clauses Contractuelles Types en place.
MFA disponible
MFA basée sur TOTP sur chaque compte. L'AAL2 imposé signifie que la reprise de session revalide. Codes de secours pour la récupération, derrière un cookie HMAC à courte durée de vie.
Conformité & méthodologie
Ce avec quoi nous sommes alignés aujourd'hui, et ce qui arrive.
RGPD
DPA Article 28 pré-signé sur /dpa
ISO 14040 / 14067
Conformité méthodologique pour les calculs carbone
GHG Protocol
Scope 3 catégories 1 et 11
SOC 2
En cours — T3 2026
ISO 27001
En cours — 2027
Signaler une vulnérabilité
Vous avez repéré quelque chose de préoccupant ? Écrivez à security@carbontrace.cloud. Nous accusons réception sous 24 heures et trions sous 72. Nous ne gérons pas encore de programme de prime rémunéré, mais le crédit est accordé à qui le demande.
Besoin de notre dossier achats ?
DPA, liste des sous-traitants, présentation de la sécurité, résumé du dernier test d'intrusion. Nous remplissons aussi volontiers votre questionnaire de sécurité fournisseur.
Demander le dossier