Centre de confiance

• Vos données vous appartiennent

  Vous pouvez tout exporter, à tout moment. Nous ne vendons, licencions ou partageons jamais avec des annonceurs ou des jeux d'entraînement d'IA.

• Chaque tenant est isolé

  Chaque requête en base est scopée à votre tenant. L'accès aux données inter-tenants est impossible au niveau données, pas seulement au niveau UI.

• Construit localement, hébergé globalement

  Conçu à Conakry par 224 TECH. Hébergé sur une infrastructure cloud tier-1 avec sauvegardes multi-régions.

• Transparent par défaut

  Nous publions notre liste de sous-traitants, notre SLA de notification de violation et nos chiffres de disponibilité de manière visible.

• En transit - TLS 1.3 pour tout le trafic navigateur ↔ serveur et serveur ↔ base.
• Au repos - AES-256 pour la base principale et toutes les sauvegardes.
• Secrets - variables d'environnement et clés de signature gérées par le coffre-fort de Vercel ; jamais commit en source.
• Secrets TOTP - chiffrés avec AES-256-GCM en base ; la clé de chiffrement est conservée hors base.

• Chaque ligne de chaque table tenant porte un `tenantId`.
• Toutes les actions serveur résolvent le tenant actuel depuis la session - jamais depuis une entrée client.
• Les requêtes en base sont scopées avant d'atteindre la base ; il n'existe aucun chemin où une requête du tenant A peut lire les données du tenant B.
• Photos et preuves de paiement sont en stockage privé avec des chemins basés sur des cuid (impossibles à deviner en pratique).

• Sauvegardes quotidiennes chiffrées de la base principale, conservées 30 jours.
• Restauration point-in-time disponible sur les 7 derniers jours.
• Les sauvegardes sont stockées séparément de la base principale, avec leurs propres contrôles d'accès.
• Des exercices de restauration sont conduits trimestriellement.

• L'accès à la production est limité à un petit groupe d'ingénieurs 224 TECH, chacun avec ses propres identifiants.
• Tout accès production est journalisé.
• Les sessions des utilisateurs tenants sont validées côté serveur et peuvent être révoquées instantanément par les admins.
• Authentification multi-facteur disponible sur tous les forfaits payants ; obligatoire pour le rôle ADMIN sur Enterprise.

Si nous découvrons un accès non autorisé à vos données, nous notifierons les admins de chaque tenant affecté dans les 72 heures de la confirmation. La notification précise ce qui s'est passé, quelles données ont été touchées, ce que nous avons fait et ce que vous devriez faire.

Nous utilisons le plus petit ensemble possible de fournisseurs. Chacun est lié par un accord de traitement de données.

Vous pouvez demander la suppression à tout moment. Les données actives du tenant sont purgées dans les 30 jours suivant la résiliation (les sauvegardes expirent sur la même fenêtre glissante de 30 jours). Les enregistrements statutaires (bulletins, journaux d'audit) sont conservés dans une archive séparée pendant la durée requise par le droit guinéen.

Les objectifs de service sont indiqués dans votre forfait payant. Le statut et l'historique des incidents seront publiés quand notre page de statut publique sera lancée (T3 2026).

Vous avez trouvé un problème de sécurité ? Écrivez à security@224tech.com. Nous accusons réception sous 1 jour ouvré, trions sous 5, et résolvons les problèmes critiques sous 30 jours. Aucune poursuite contre les chercheurs de bonne foi. Notre politique complète de divulgation se trouve dans le dépôt à SECURITY.md.

Une question sécurité ou conformité ? Écrivez à privacy@224tech.com. Nous répondons à chaque message.