Une sécurité
à chaque niveau.

Toutes les données entrant et sortant de la plateforme Vowly Event sont chiffrées à l'aide d'algorithmes conformes aux normes du secteur. Nous utilisons TLS 1.3 avec confidentialité persistante parfaite pour les données en transit et AES-256 en mode GCM pour les données au repos dans notre base de données principale, notre stockage de fichiers et nos sauvegardes.

• TLS 1.3 pour toutes les connexions client–serveur ; inclusion dans la liste de préchargement HSTS
• Chiffrement AES-256-GCM au repos pour Firestore, Cloud Storage et les sauvegardes
• Stockage chiffré des identifiants utilisant bcrypt (facteur de travail 12) et Argon2id pour les nouveaux comptes
• Gestion cryptographique des clés via Google Cloud KMS avec rotation annuelle des clés

Nous suivons le principe du moindre privilège sur tous nos systèmes. L'accès à la production est restreint à un petit groupe d'ingénieurs, nécessite une authentification multifacteur, et chaque action privilégiée est journalisée à des fins d'audit.

• Contrôle d'accès basé sur les rôles (RBAC) appliqué à tous les outils internes
• Clés de sécurité matérielles obligatoires (FIDO2/WebAuthn) pour l'accès à la production
• Octrois d'accès juste-à-temps avec expiration automatique (généralement 4 heures)
• Journalisation d'audit complète de toutes les actions administratives
• Revues d'accès trimestrielles et désactivation automatisée dans l'heure suivant tout changement de rôle

Vowly Event fonctionne sur Google Cloud Platform avec une infrastructure principale dans la région europe-west3 (Francfort) et une réplication multi-régions à travers l'UE. Notre infrastructure est conçue pour la résilience, l'évolutivité et la conformité réglementaire aux exigences de résidence des données de l'UE et du Royaume-Uni.

• Fournisseur cloud : Google Cloud Platform (ISO 27001, SOC 2 Type II, ISO 27017, ISO 27018)
• Région principale : europe-west3 (Francfort, Allemagne)
• Base de données : Cloud Firestore avec réplication multi-régions (eur3)
• CDN et protection DDoS : Cloudflare avec limitation de débit et atténuation des bots
• Sauvegardes quotidiennes chiffrées avec conservation de 35 jours et exercices de restauration trimestriels

Nous surveillons la plateforme 24h/24 et 7j/7 avec des alertes automatisées pour les anomalies, les événements de sécurité et les dégradations de performance. Notre équipe de réponse aux incidents est de garde pour traiter les problèmes critiques en quelques minutes.

• Surveillance de sécurité en temps réel des schémas de connexion inhabituels et des tentatives de credential stuffing
• Surveillance des performances applicatives (APM) avec détection d'anomalies
• Pare-feu d'application web (WAF) et limitation de débit sur tous les points de terminaison publics
• Analyse continue des vulnérabilités des dépendances (npm audit, Snyk)
• Tests d'intrusion annuels par des cabinets tiers accrédités CREST

La sécurité est intégrée à chaque étape de notre cycle de développement logiciel. Nous suivons les bonnes pratiques OWASP et exigeons que toutes les modifications de code passent des contrôles de sécurité automatisés avant le déploiement en production.

• Revue de code par les pairs obligatoire pour tous les changements ; aucun commit direct sur les branches de production
• Tests statiques de sécurité des applications (SAST) sur chaque pull request
• Analyse de la composition logicielle (SCA) pour identifier les dépendances vulnérables
• En-têtes de sécurité automatisés (CSP, X-Frame-Options, Referrer-Policy)
• Détection et prévention des secrets via des hooks git pre-commit

Malgré nos meilleurs efforts, aucune plateforme n'est à l'abri d'incidents de sécurité. Si nous détectons une violation de données personnelles, nous suivons un plan documenté de réponse aux incidents et notifierons les utilisateurs concernés ainsi que l'ICO du Royaume-Uni dans les 72 heures, conformément à l'article 33 du RGPD britannique.

• Plan documenté de réponse aux incidents avec des niveaux de gravité définis
• Rotation d'astreinte avec un SLA de réponse de 15 minutes pour les incidents critiques
• Post-mortem et remédiation obligatoires pour tous les incidents P0/P1
• Engagement de notification des violations sous 72 heures aux autorités de contrôle et aux utilisateurs concernés

Vowly Event repose sur une infrastructure dotée des principales certifications de sécurité et est conçu pour répondre aux exigences de multiples référentiels de confidentialité et de sécurité.

• RGPD britannique et RGPD européen — conformité totale, y compris les registres de l'article 30 et les AIPD
• Loi britannique sur la protection des données 2018
• PCI DSS — Stripe gère toutes les données de paiement ; nous maintenons un périmètre SAQ-A
• Revues de sécurité régulières, audits des dépendances et durcissement de notre infrastructure
• SOC 2 Type II — certification du fournisseur d'infrastructure (Google Cloud)

Nous apprécions l'aide de la communauté de la sécurité pour assurer la sécurité de notre plateforme. Si vous découvrez une vulnérabilité, veuillez la signaler à security@vowly.co avec une description claire, les étapes de reproduction et vos coordonnées. Nous nous engageons à accuser réception des signalements dans les 48 heures et à collaborer avec vous sur les délais de divulgation responsable.