Politique securite et conformite des donnees

TarifIA traite la securite de l'information comme un pilier produit. Nos mesures techniques et organisationnelles sont revues periodiquement au regard de l'etat de l'art, de l'evolution des menaces et des exigences RGPD (art. 32).

• Infrastructure hebergee dans l'Union europeenne.
• Architecture multi-tenant avec isolation logique stricte par company_id, verifiee par tests d'integration dedies.
• Separation des environnements (dev, staging, production) ; pas d'acces direct aux donnees de production depuis les environnements hors-production.
• Reseau segmente, exposition minimale : seuls les services destines au public sont exposes, derriere un WAF.

• En transit : TLS 1.2+ (HSTS actif), certificats geres automatiquement.
• Au repos : chiffrement AES-256 des bases, fichiers et sauvegardes.
• Secrets applicatifs geres via coffre-fort dedie, rotation periodique, pas de secret dans le code.
• Mots de passe haches avec Argon2id ou bcrypt (cout >= 12).

• Authentification par e-mail + mot de passe ; authentification multi-facteurs (MFA) disponible pour tout utilisateur et pouvant etre exigee par TarifIA pour les comptes presentant un niveau de privileges eleve (notamment administrateurs internes et administrateurs Clients).
• Gestion des roles (RBAC) cote Client (admin, utilisateur, auditeur cabinet).
• Acces equipes TarifIA : principe du moindre privilege, revue trimestrielle, tracabilite.

• Revue de code obligatoire, protections de branches, CI/CD automatisee.
• Analyse statique (SAST), analyse dynamique (DAST), scan de dependances et d'images de conteneurs.
• Tests automatises couvrant les regles d'autorisation multi-tenant.
• Programme de responsabilite de divulgation (responsible disclosure) : contact@tarifia.com.

• Journalisation centralisee des acces applicatifs, administratifs et d'infrastructure (conservation 12 mois).
• Supervision 24/7 des metriques de disponibilite et des signaux de securite.
• Detection d'anomalies et alertes automatiques.

• Sauvegardes quotidiennes, chiffrees, conservation 30 jours minimum.
• Tests de restauration trimestriels avec enregistrement des resultats.
• Objectifs internes de reprise : TarifIA definit des objectifs cibles de temps de reprise (RTO) et de point de reprise (RPO) dans sa documentation operationnelle. Ces objectifs ont un caractere indicatifet n'emportent aucun engagement contractuel de resultat, sauf stipulation ecrite expresse dans les Conditions particulieres du Client ou dans un accord de niveau de service separe.

TarifIA dispose d'un processus formalise de reponse aux incidents : detection, qualification, confinement, eradication, reprise, communication. En cas de violation de donnees a caractere personnel (art. 33 RGPD), le Client concerne est notifie dans un delai maximal de 48 h apres connaissance, avec description, nature des donnees, mesures prises.

• Conformite RGPD et loi Informatique et Libertes.
• Registre des traitements tenu a jour (art. 30 RGPD).
• Analyses d'impact (AIPD) menees lorsque requis.

10.1 Regles de gouvernance

10.2 Fonctions definitivement interdites

10.3 Renvoi documentaire

Cette doctrine est detaillee dans le dossier de cadrage conformite remis au cabinet conseil dans le cadre du Lot 1.