Sécurité

Nous prenons la sécurité de votre compte et de vos données au sérieux. Voici ce que nous mettons en place.

Authentification sécurisée

Les comptes sont gérés via Supabase Auth. Les mots de passe sont hachés (bcrypt). Aucun mot de passe n'est stocké en clair. La session est gérée par cookie HttpOnly sécurisé.

Paiements via Stripe

AI TrackScore ne stocke aucun numéro de carte bancaire. Tous les paiements transitent par Stripe, qui est certifié PCI DSS niveau 1.

Liens PDF signés et expirables

Les rapports PDF transmis à vos clients finaux sont protégés par des liens HMAC-SHA256 signés avec une durée de validité de 30 jours. Un lien expiré ou modifié n'ouvre pas le rapport.

Données isolées par compte

Chaque compte agence est strictement isolé. Une agence ne peut pas accéder aux données d'une autre agence. Toutes les requêtes sont filtrées par identifiant utilisateur côté serveur.

Logs sans secrets

Les logs applicatifs ne contiennent aucun secret, mot de passe, token ou clé API. Seuls des identifiants anonymisés ou des événements fonctionnels sont tracés.

Email via fournisseur dédié

Les rapports sont envoyés via Resend, un service d'emailing professionnel avec suivi de délivrabilité. Les adresses email des destinataires ne sont pas partagées.

Ce que nous ne prétendons pas

AI TrackScore n'est pas certifié SOC 2, ISO 27001 ou toute autre norme externe. Nous n'avons pas fait réaliser d'audit de sécurité tiers à ce jour.

Nous appliquons des bonnes pratiques de développement sécurisé, mais nous ne garantissons pas une sécurité absolue contre toute forme d'attaque.

Signaler une vulnérabilité

Si vous découvrez une faille de sécurité, merci de nous contacter de manière responsable avant toute divulgation publique : security@aitrackscore.com

Nous nous engageons à traiter les signalements sérieux dans les meilleurs délais.