Voice2Evolve® logo

Revue sécurité pour logiciel achats

Sécurité et confiance

Logiciel d’entraînement à la négociation fournisseurs hébergé dans l’UE, avec isolation tenant, sous-traitants publiés, contrôles prêts pour le DPA et parcours clair de revue sécurité pour les achats.

Comment Voice2Evolve protège les données de session, le contexte organisationnel et le processus de revue acheteur avant déploiement.

Données applicatives hébergées dans l’UE (Supabase Stockholm)

Sous-traitants publiés et artefacts juridiques prêts pour DPA

Isolation tenant appliquée au middleware, aux claims d’authentification et aux politiques base de données

Audio de session chiffré en transit via DTLS-SRTP

Security pack et réponses questionnaires disponibles sur demande

Tokens courts, rate limits et contrôle d’accès par rôles

Voice2Evolve traite des données sensibles : audio vocal en direct pendant les sessions, transcriptions de conversations et contexte organisationnel. Nous considérons cette responsabilité comme une contrainte de conception, pas comme une réflexion après coup.

Cette page décrit les mesures de contrôle en place. Pour les accords formels et les mesures techniques détaillées, les documents correspondants sont référencés en bas de page.

Résidence des données et chiffrement

Vos données applicatives sont stockées dans l'UE (Supabase, région de Stockholm). Toutes les données sont chiffrées au repos (AES-256) et en transit (TLS 1.2+). L'audio des sessions vocales est chiffré de bout en bout via DTLS-SRTP entre votre navigateur et le fournisseur d'IA.

Le chiffrement au niveau applicatif (AES-256-GCM) protège les champs sensibles tels que les documents téléchargés, les clés API et les profils de candidats. Les clés de chiffrement sont gérées via un système de vault par niveaux, avec des options de configuration par organisation.

Isolation entre organisations

Voice2Evolve est conçu pour plusieurs organisations. Chaque requête, chaque appel API et chaque opération de stockage est limité à votre organisation. L'isolation est appliquée au niveau de la base de données via des politiques de sécurité par lignes (RLS), pas seulement par la logique applicative.

Le contexte de l'organisation est validé indépendamment sur trois couches : middleware, jetons d'authentification et politiques de base de données. Les trois doivent correspondre avant que les données ne soient renvoyées. Il n'existe aucune surface de données partagée entre les organisations.

Traitement des données vocales et IA

L'audio des sessions vocales est traité en temps réel et n'est pas conservé par nos fournisseurs d'IA après le traitement. Nous utilisons des endpoints API où les données de session ne sont pas utilisées pour l'entraînement des modèles.

Les transcriptions des sessions sont stockées dans la base de données de votre organisation, limitées à votre organisation et soumises à votre politique de conservation configurée. Lorsqu'une session expire, les transcriptions et l'analyse sont automatiquement supprimées.

Nous utilisons des endpoints d'API où les entrées et les sorties ne sont pas utilisées pour l'entraînement des modèles d'IA. Les détails sur les fournisseurs, les catégories de données et la conservation sont documentés dans la liste des sous-traitants et dans les documents de revue.

Pour nos engagements éthiques sur l'utilisation des analyses IA et ce que la plateforme ne décidera jamais, consultez notre page IA responsable.

Authentification et contrôle d'accès

L'authentification des utilisateurs est gérée via des cookies sécurisés HttpOnly avec protection SameSite. Le contrôle d'accès basé sur les rôles sépare les permissions d'utilisateur, d'éditeur, d'administrateur d'organisation et de super-administrateur. Toutes les routes d'administration nécessitent une vérification explicite du rôle.

Les endpoints de l'API sont soumis à des limites de débit par route. L'accès anonyme est protégé par une vérification CAPTCHA. Tous les jetons d'authentification sont de courte durée et signés cryptographiquement.

Sécurité de l'application

La sécurité est intégrée au processus de développement, pas ajoutée après coup. Les contrôles comprennent :

  • Validation des entrées sur chaque point d'accès de l'API (schémas Zod)
  • Politique de sécurité du contenu avec nonce par requête
  • Journalisation structurée avec masquage automatique des données personnelles
  • Analyse automatisée des dépendances et alertes de vulnérabilités
  • Revue de code avec des outils de sécurité automatisés et vérification manuelle
  • Journaux d'audit immuables pour les opérations administratives et financières

Conformité et cadres réglementaires

Voice2Evolve construit son Système de Management de la Sécurité de l'Information selon les principes ISO 27001 et SOC 2. Les certifications formelles ne sont pas encore finalisées. Tous les fournisseurs sont évalués au regard des exigences de sécurité et de protection des données avant adoption, et ont signé des Accords de Traitement des Données.

La plateforme est conforme au RGPD : les demandes d'accès, de portabilité et d'effacement des données sont prises en charge. Une Analyse d'Impact relative à la Protection des Données couvre le traitement des sessions vocales. Les exigences allemandes GoBD pour la comptabilité numérique sont respectées grâce à l'intégration Lexware.

Gestion des fournisseurs

Chaque service tiers est évalué sur sa posture de sécurité, ses pratiques de traitement des données et ses certifications de conformité avant adoption. Tous les fournisseurs critiques détiennent une certification SOC 2 Type II. Des Accords de Traitement des Données sont signés avec chaque fournisseur qui traite des données personnelles.

Une liste complète des sous-traitants est publiée et tenue à jour. Les modifications des sous-traitants sont communiquées avec un préavis de 30 jours conformément à notre Accord de Traitement des Données.

Réponse aux incidents

Une politique documentée de réponse aux incidents couvre la détection, le confinement, l'éradication et la reprise. Les incidents critiques visent une réponse rapide, généralement en quelques heures. Les violations de données sont signalées à l'autorité de contrôle compétente dans les 72 heures, conformément à l'article 33 du RGPD.

Tous les incidents sont documentés avec une analyse des causes profondes et un suivi des mesures correctives. Les retours d'expérience post-incident alimentent les contrôles de sécurité et la surveillance.

Documentation

Pour les achats, les revues de conformité ou les questions techniques détaillées, les documents suivants sont disponibles :

Accord de Traitement des DonnéesListe des sous-traitantsPolitique de confidentialitéIA responsable

Ce que nous fournissons lors d’une revue fournisseur

Les équipes achats, IT, sécurité et privacy demandent généralement le même jeu de preuves avant déploiement. Nous le fournissons directement.

  • Accord de traitement des données et liste des sous-traitants
  • Politique de confidentialité et position Responsible AI
  • Livre blanc sécurité et réponses aux questionnaires sur demande
  • Explication claire de la rétention, de l’hébergement, du contrôle d’accès et de l’isolation tenant

Besoin du pack de revue pour achats, IT ou conformité ?

Nous fournissons le livre blanc sécurité, les réponses aux questionnaires achats et des réponses directes pour les revues acheteur, privacy et sécurité.

Demander le security pack