LoanIntelligence.aiLoanIntelligence.ai
Retour à l'aperçu légal

Sécurité

Comment nous protégeons vos données

Dernière mise à jour : November 14, 2025

Sécurité en un coup d’œil

  1. 1La rétention zéro de documents minimise la surface d’attaque
  2. 2Chiffrement spécifique au client - vos clés uniques protègent vos données
  3. 3Rotation automatique des clés après chaque exécution de traitement
  4. 4Technologie de traitement avancée - algorithmes propriétaires, systèmes de signalisation et services d’IA tiers certifiés SOC 2 Type I et Type II
  5. 5Focus sur la qualité des données - garantir l’exactitude et la qualité des données grâce à une validation multi-couches
  6. 6Toutes les données chiffrées tout au long du processus
  7. 7Sécurité zéro-knowledge - même si les serveurs sont compromis, vos données restent chiffrées
  8. 8Vous contrôlez vos données - stockées dans votre Google Drive
  9. 9Utilisation à titre informatif uniquement - analyse de l’exactitude des données, pas de conseil financier
  10. 10Conforme au RGPD, CCPA, FCRA, ECOA

Architecture axée sur la sécurité

Conçu pour la confidentialité et la sécurité

1

Pas de conservation de documents

Vos documents ne sont PAS stockés sur nos serveurs. Les documents sont traités en temps réel pendant chaque exécution, puis immédiatement supprimés. Cela élimine le plus grand vecteur d'attaque : les données de documents stockées. Les résultats de traitement sont encryptés avec les clés spécifiques à votre client et stockés dans votre Google Drive AppData.

2

Traitement sans état

Chaque API demande est indépendante. Aucune donnée de session ne persiste au-delà de la demande active. Surface d'attaque minimale.

3

Isolation des demandes

Les niveaux Professionnel et Entreprise utilisent des instances dédiées avec isolation réseau pour éviter la fuite de données entre clients.

Données en transit

1

Chiffrement HTTPS/TLS

Toutes les demandes et réponses API sont encryptées avec TLS 1.3. Aucun trafic HTTP non encrypté n'est accepté.

2

Certificats SSL

Certificats SSL valides provenant d'autorités de certification de confiance. Renouvellement et surveillance automatiques.

3

API Sécurité

API clés transmises via des en-têtes sécurisés. La limitation de débit empêche les abus et les attaques par déni de service.

Authentification & Autorisation

1

OAuth 2.0

Google OAuth pour l'authentification des utilisateurs. Nous ne stockons jamais de mots de passe. OAuth tokens encryptés avec AES-256.

2

Sessions sécurisées

Cookies de session avec attributs httpOnly et secure. Expiration de 7-jours avec rafraîchissement automatique. Protection CSRF activée.

3

API Gestion des clés

API clés hashées avant stockage. Faites pivoter les clés à tout moment depuis le tableau de bord. Les clés sont limitées à des permissions spécifiques.

4

Authentification multi-facteurs

MFA disponible pour les comptes de niveau Entreprise. La 2FA du compte Google protège toutes les connexions OAuth.

Données au repos

Architecture de chiffrement spécifique au client

1

Documents

NON stocké sur nos serveurs. Supprimé immédiatement après traitement. Aucune conservation de documents.

2

Résultats du traitement

Chiffré avec vos clés spécifiques au client et stocké dans votre Google Drive AppData. Nous ne pouvons pas accéder à vos données chiffrées sans vos OAuth permissions.

3

Clés de chiffrement

Clés spécifiques au client stockées dans votre Google Drive AppData. Rotées automatiquement après chaque exécution de traitement. Anciennes clés écartées.

4

Données de compte

E-mail, nom, identifiant client Stripe stockés dans une base de données chiffrée. Chiffrement AES-256 au repos.

5

OAuth jetons

Jetons d'actualisation Google OAuth chiffrés avec AES-256 avant stockage. Jetons d'accès conservés uniquement en mémoire pendant les opérations de synchronisation Drive.

6

Journaux

Les journaux d'erreurs et les métriques d'utilisation ne contiennent pas de contenu de document. Conservés pendant un maximum de 30 jours. Chiffrés au repos.

Sécurité tierce

1

Stripe (Traitement des paiements)

Certification PCI DSS niveau 1. Nous ne voyons jamais les numéros de carte bancaire. Seuls les identifiants client Stripe sont stockés.

2

Google (OAuth & Drive)

OAuth 2.0 avec des scopes minimaux (drive.file, spreadsheets, drive.appdata). Les utilisateurs peuvent révoquer l'accès à tout moment via les paramètres du compte Google. Vos données chiffrées et vos clés stockées dans votre Google Drive AppData.

3

Services d'IA tiers

Nous utilisons des algorithmes propriétaires et des systèmes de signalisation pour garantir la précision et la qualité des données. Les services d'IA tiers sont certifiés SOC 2 Type I et Type II, interdits contractuellement d'utiliser vos données pour l'entraînement, et traitent les données de façon éphémère avec chiffrement en transit.

Contrôles d'accès

1

Principe du moindre privilège

Les employés ont l'accès minimal requis pour leur rôle. Aucun accès des employés aux documents clients (ils ne sont pas stockés).

2

Journalisation d'audit

Toutes les actions administratives sont enregistrées. Les journaux d'accès sont examinés régulièrement pour détecter les anomalies.

3

Séparation des fonctions

Environnements de développement, de préproduction et de production isolés. L'accès en production est restreint à l'équipe d'opérations.

Surveillance et Réponse aux incidents

1

Détection des menaces

Surveillance automatisée des activités suspectes, des tentatives de connexion échouées et de API abuse. Alertes en temps réel pour les événements de sécurité.

2

Plan de réponse aux incidents

Procédures documentées pour les incidents de sécurité. Équipe de réponse sur appel 24/7 pour le niveau Enterprise.

3

Notification de violation

Si une violation de données se produit, les utilisateurs affectés sont notifiés dans un délai de 72 heures. Conformité au RGPD et aux lois d'État sur la notification de violation.

Conformité et Certifications

1

Conformité au RGPD

Accords de traitement des données disponibles. L'architecture à conservation zéro simplifie la conformité. Le droit à la suppression est automatique (supprimer le compte = supprimer les données).

2

Conformité CCPA

Nous ne vendons pas d'informations personnelles. Les résidents californiens ont le droit d'accéder et de supprimer les données.

3

SOC 2 Type II (Feuille de route)

Audit formel en cours pour le niveau Enterprise. Les pratiques actuelles sont alignées sur les principes de Sécurité, Disponibilité, Confidentiel.

Gestion des vulnérabilités

1

Mises à jour régulières

Dépendances et infrastructure corrigées régulièrement. Mises à jour de sécurité appliquées dans un délai de 48 heures après la divulgation.

2

Tests de sécurité

Tests d'intrusion réguliers et analyses de vulnérabilités. Audits de sécurité tiers annuels.

3

Divulgation responsable

Signalez les vulnérabilités de sécurité à [email protected]. Nous reconnaissons les rapports dans les 24 heures et fournissons des mises à jour toutes les 72 heures.

Vos responsabilités de sécurité

Gardez les clés API confidentielles. Remplacez immédiatement si elles sont compromises.
Utilisez des mots de passe forts et uniques pour votre compte Google (OAuth)
Appareils sécurisés accédant au tableau de bord. Déconnectez-vous des ordinateurs partagés.
Examinez régulièrement les autorisations Google OAuth. Révoquez l'accès si elle n'est plus nécessaire.
Signalez immédiatement toute activité suspecte à [email protected].

Besoin d'aide?

Besoin d'aide avec la sécurité?

Contactez notre équipe juridique et sécurité à [email protected] pour les déclarations d'incidents ou les questions de conformité.

[email protected]

Nous répondons dans un jour ouvrable.