Sécurité

Hébergement EU

• Supabase — base de données et authentification, région EU Central (Francfort, Allemagne)
• Vercel — hébergement applicatif, infrastructure EU
• Resend — emails transactionnels, infrastructure EU

Aucun transfert de données hors UE dans le fonctionnement normal du service.

Chiffrement et stockage

• Chiffrement TLS 1.3 en transit (HTTPS partout)
• Chiffrement au repos AES-256 sur Supabase
• Mots de passe hachés via bcrypt (Supabase Auth) — jamais stockés en clair, jamais visibles par Fara Digital

Cloisonnement des données

• Row Level Security activée sur toutes les tables sensibles : chaque professionnel ne voit que ses propres données
• Les données d'un professionnel sont isolées de celles des autres au niveau base de données
• Côté smart page publique, seuls les champs strictement nécessaires sont exposés (logo, message, lien Google) ; aucune donnée client ne fuit

Traçabilité

• Journal d'audit de toutes les actions sensibles (envois, retours, demandes RGPD, désinscriptions, purges automatiques)
• Conservation 6 mois maximum, lecture restreinte à l'administrateur

Sauvegardes

Sauvegardes automatiques quotidiennes par Supabase. Restauration point-in-time disponible.

Anti-tracking

• Aucun cookie publicitaire
• Aucun outil d'analytics tiers (Google Analytics, etc.)
• Aucun pixel de suivi externe
• Uniquement des cookies strictement nécessaires (session d'authentification professionnelle)

Purge automatique

Les données des destinataires de messages sont automatiquement purgées au-delà de 2 ans (article 5(1)(e) RGPD). La purge s'exécute le 1er de chaque mois à 03:00 UTC.

Contact sécurité

Pour signaler une vulnérabilité ou poser une question sécurité : leaker.co@gmail.com.