Sécurité

Six couches entre
vos données et un mauvais jour.

La version courte de la façon dont nous protégeons vos données. La version plus longue se trouve dans le DPA. La version la plus longue, nous l'envoyons à votre équipe achats si elle le demande.

Chiffrement partout

TLS 1.3 en transit, AES-256 au repos. Base de données, sauvegardes, journaux — chiffrés par défaut, aucune activation requise.

Sécurité au niveau des lignes

Multi-tenant imposé au niveau de la base de données via Postgres RLS. Les bugs applicatifs ne peuvent pas divulguer les données d'un autre tenant car la requête ne les renvoie jamais.

Clés API à portée limitée

Chaque clé API appartient à une seule organisation. Révocable depuis le tableau de bord. Les clés sandbox existent comme un type distinct, afin que le trafic de test n'affecte jamais les quotas en production.

Journal d'audit en chaîne de hachage

Chaque action modifiant l'état est inscrite dans un journal d'audit en ajout seul. Chaque entrée hache la précédente — toute altération est détectable. Conservé 7 ans.

Résidence des données dans l'UE

Base de données principale à Francfort (eu-west-1). Les fonctions edge servent occasionnellement depuis des régions hors UE pour la latence, avec des Clauses Contractuelles Types en place.

MFA disponible

MFA basée sur TOTP sur chaque compte. L'AAL2 imposé signifie que la reprise de session revalide. Codes de secours pour la récupération, derrière un cookie HMAC à courte durée de vie.

Conformité & méthodologie

Ce avec quoi nous sommes alignés aujourd'hui, et ce qui arrive.

RGPD

DPA Article 28 pré-signé sur /dpa

ISO 14040 / 14067

Conformité méthodologique pour les calculs carbone

GHG Protocol

Scope 3 catégories 1 et 11

SOC 2

En cours — T3 2026

ISO 27001

En cours — 2027

Signaler une vulnérabilité

Vous avez repéré quelque chose de préoccupant ? Écrivez à security@carbontrace.cloud. Nous accusons réception sous 24 heures et trions sous 72. Nous ne gérons pas encore de programme de prime rémunéré, mais le crédit est accordé à qui le demande.

Besoin de notre dossier achats ?

DPA, liste des sous-traitants, présentation de la sécurité, résumé du dernier test d'intrusion. Nous remplissons aussi volontiers votre questionnaire de sécurité fournisseur.

Demander le dossier