Sécurité et confiance
Comment Voice2Evolve protège vos données, vos sessions et votre organisation.
Voice2Evolve traite des données sensibles : enregistrements vocaux, transcriptions de conversations et contexte organisationnel. Nous considérons cette responsabilité comme une contrainte de conception, pas comme une réflexion après coup.
Cette page décrit les mesures de contrôle en place. Pour les accords formels et les mesures techniques détaillées, les documents correspondants sont référencés en bas de page.
Résidence des données et chiffrement
Vos données applicatives sont stockées dans l'UE (Supabase, région de Stockholm). Toutes les données sont chiffrées au repos (AES-256) et en transit (TLS 1.2+). L'audio des sessions vocales est chiffré de bout en bout via DTLS-SRTP entre votre navigateur et le fournisseur d'IA.
Le chiffrement au niveau applicatif (AES-256-GCM) protège les champs sensibles tels que les documents téléchargés, les clés API et les profils de candidats. Les clés de chiffrement sont gérées via un système de coffre-fort à niveaux avec des options de configuration par locataire.
Isolation des locataires
Voice2Evolve est multi-locataire. Chaque requête, chaque appel API et chaque opération de stockage est limité à votre organisation. L'isolation est appliquée au niveau de la base de données via des politiques de sécurité par lignes (RLS), pas seulement par la logique applicative.
Le contexte du locataire est validé indépendamment sur trois couches : middleware, jetons d'authentification et politiques de base de données. Les trois doivent correspondre avant que les données ne soient renvoyées. Il n'existe aucune surface de données partagée entre les organisations.
Authentification et contrôle d'accès
L'authentification des utilisateurs est gérée via des cookies sécurisés HttpOnly avec protection SameSite. Le contrôle d'accès basé sur les rôles sépare les permissions d'utilisateur, d'éditeur, d'administrateur de locataire et de super-administrateur. Toutes les routes d'administration nécessitent une vérification explicite du rôle.
Les points d'accès de l'API sont soumis à des limites de débit par route. L'accès anonyme est protégé par une vérification CAPTCHA. Tous les jetons d'authentification sont de courte durée et signés cryptographiquement.
Traitement des données vocales et IA
L'audio des sessions vocales est traité en temps réel et n'est pas conservé par nos fournisseurs d'IA après le traitement. Nous utilisons des points d'accès API où les données de session ne sont pas utilisées pour l'entraînement des modèles.
Les transcriptions des sessions sont stockées dans la base de données de votre organisation, limitées à votre locataire et soumises à votre politique de rétention configurée. Lorsqu'une session expire, les transcriptions et l'analyse sont automatiquement supprimées.
Pour nos engagements éthiques sur l'utilisation des analyses IA et ce que la plateforme ne décidera jamais, consultez notre page IA responsable.
Sécurité de l'application
La sécurité est intégrée au processus de développement, pas ajoutée après coup. Les contrôles comprennent :
- Validation des entrées sur chaque point d'accès de l'API (schémas Zod)
- Politique de sécurité du contenu avec nonce par requête
- Journalisation structurée avec masquage automatique des données personnelles
- Analyse automatisée des dépendances et alertes de vulnérabilités
- Revue de code et analyse des dépendances avec des outils de sécurité automatisés et vérification manuelle
- Journaux d'audit immuables pour les opérations administratives et financières
Conformité et cadres réglementaires
Voice2Evolve construit son Système de Management de la Sécurité de l'Information selon les principes ISO 27001 et SOC 2. Les certifications formelles ne sont pas encore finalisées. Tous les fournisseurs sont évalués au regard des exigences de sécurité et de protection des données avant adoption, et ont signé des Accords de Traitement des Données.
La plateforme est conforme au RGPD : les demandes d'accès, de portabilité et d'effacement des données sont prises en charge. Une Analyse d'Impact relative à la Protection des Données couvre le traitement des sessions vocales. Les exigences allemandes GoBD pour la comptabilité numérique sont respectées grâce à l'intégration Lexware.
Gestion des fournisseurs
Chaque service tiers est évalué sur sa posture de sécurité, ses pratiques de traitement des données et ses certifications de conformité avant adoption. Tous les fournisseurs critiques détiennent une certification SOC 2 Type II. Des Accords de Traitement des Données sont signés avec chaque fournisseur qui traite des données personnelles.
Une liste complète des sous-traitants est publiée et tenue à jour. Les modifications des sous-traitants sont communiquées avec un préavis de 30 jours conformément à notre Accord de Traitement des Données.
Réponse aux incidents
Une politique documentée de réponse aux incidents couvre la détection, le confinement, l'éradication et la reprise. Les incidents critiques visent une réponse rapide, généralement en quelques heures. Les violations de données sont signalées à l'autorité de contrôle compétente dans les 72 heures, conformément à l'article 33 du RGPD.
Tous les incidents sont documentés avec une analyse des causes profondes et un suivi des mesures correctives. Les retours d'expérience post-incident alimentent les contrôles de sécurité et la surveillance.
Documentation
Pour les achats, les revues de conformité ou les questions techniques détaillées, les documents suivants sont disponibles :
Besoin de plus de détails pour une revue de conformité ?
Nous fournissons un livre blanc sur la sécurité et des questionnaires de sécurité pré-remplis sur demande. Si vous avez besoin d'informations spécifiques pour un achat, une revue de sécurité interne ou une évaluation de fournisseurs, contactez-nous directement.