Sécurité
& Infrastructure
La protection de vos données d'entreprise et celles de vos clients est au cœur de l'architecture de FolioDesk. L'infrastructure est conçue sur des principes de "Security by Design".
Hébergement et Infrastructure
L'ensemble de nos services repose sur des infrastructures cloud de dernière génération, gérées par des leaders mondiaux de l'industrie certifiés SOC 2 Type II et ISO/IEC 27001:2022.
Chiffrement des données
Toutes les données transitant sur FolioDesk ou stockées sur nos serveurs sont protégées par les standards de cryptographie les plus robustes.
- Données en transitToutes les requêtes vers nos serveurs sont forcées sur HTTPS. Les communications entre votre navigateur, notre application et les bases de données sont chiffrées avec TLS 1.3.
- Données au reposL'intégralité de nos disques serveurs et de nos bases de données est chiffrée de manière transparente (TDE) au repos selon la norme AES-256 bits.
- Mots de passe et SecretsNous ne stockons en aucun cas les mots de passe de nos utilisateurs en clair. Ils sont sécurisés via l'algorithme de hachage robuste bcrypt avec salage cryptographique aléatoire.
Par défaut, les identifiants confiés au coffre-fort sont chiffrés sur nos serveurs en AES-256-GCM (chiffrement au repos). Pour les espaces les plus sensibles, vous pouvez activer un niveau supérieur : un chiffrement zero-knowledge (« à divulgation nulle de connaissance »).
Lorsque ce mode est activé, une clé de chiffrement est dérivée d'une phrase de récupération que vous seul connaissez, et le chiffrement comme le déchiffrement ont lieu dans votre navigateur. Nos serveurs ne reçoivent alors que des données déjà chiffrées : nous n'avons aucun accès au contenu de ces identifiants (WordPress, hébergeur, réseaux sociaux du client…).
En contrepartie, vous gardez le contrôle total : si vous perdez votre phrase de récupération, personne, nous compris, ne peut restaurer l'accès. C'est ce qui en fait la garantie de confidentialité la plus forte. Un « kit de récupération » vous est remis au moment de l'activation, à conserver en lieu sûr.
Authentification et Accès
Le cœur de notre logique applicative repose sur le principe du "Zéro Confiance" et un cloisonnement cryptographique strict protégeant de toute fuite de données inter-entreprise.
Surveillance continue 24/7
Une équipe automatisée tourne en permanence sur l'infrastructure pour détecter et neutraliser les menaces en amont. La surveillance fonctionne sans interruption, indépendamment des horaires ouvrés.
Les détails techniques précis du système de surveillance ne sont pas publiés ici · ils sont disponibles sous accord de non-divulgation pour les acheteurs enterprise lors de l'évaluation sécurité ou de la signature de l'accord de traitement des données (Data Processing Agreement, DPA).
Sécurité des paiements
Zéro données bancaires
FolioDesk ne détient, n'observe, ne traite et ne stocke absolument aucune information de carte bancaire primaire ou données sensibles de règlement sur ses propres serveurs, pour limiter fondamentalement les vecteurs d'attaque.
Toutes les données de facturation (votre abonnement ainsi que les portails de paiement envoyés à vos clients finaux) sont routées et sécurisées par Stripe, leader mondial des paiements vérifié et certifié rigoureusement PCI Service Provider Level 1.
Sauvegardes et Continuité
Nous sommes pleinement conscients que vos factures, données clients et suivis de devis sont le cœur vital de votre business. L'infrastructure assure une continuité redondante :
- Backups Intégraux (WAL)La base de données est sauvegardée de façon exhaustive chaque nuit, avec rétention chiffrée sur d'autres baies de serveurs distinctes géographiquement.
- Point-In-Time Recovery (PITR)Mécanisme exceptionnel permettant, en cas de catastrophe système inattendue, de ramener l'état exact des données à une seconde près sur une période d'historique de 7 jours.
Compliance et conformité
L'infrastructure et les processus sont conçus pour respecter les obligations légales européennes en matière de protection des données et de sécurité des systèmes d'information.
Roadmap certifications · les processus internes visent les standards SOC 2 Type II et ISO/IEC 27001:2022, dans une démarche de certification formelle externe planifiée pour 2026-2027, en cohérence avec la croissance de la base clients. La certification n'est pas encore obtenue à ce jour.
En cas d'incident de sécurité
Un plan de réponse aux incidents (Incident Response Plan) est documenté, testé périodiquement, et active dès la détection d'une anomalie significative.
- Containment immédiat · objectif sous quelques minutesPour les incidents critiques (P0/P1), les contre-mesures s'activent automatiquement (isolation, blocage IP, révocation secrets).
- Notification à l'autorité de contrôle · 72 heuresConformément à l'article 33 du RGPD, toute violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées est notifiée à l'autorité de contrôle compétente (Andmekaitse Inspektsioon, autorité estonienne chef de file de l'Éditeur) dans le délai légal, et l'autorité du pays de résidence des personnes concernées peut être saisie le cas échéant.
- Notification clients individuelleEn cas de risque élevé, chaque client impacté est notifié individuellement par email avec un état précis des données concernées et des actions correctives.
- Audit forensique externeEn cas d'incident majeur, un cabinet spécialisé externe est mandaté pour reconstruire la chaîne d'événements et émettre un rapport indépendant disponible aux clients impactés.
Vous avez repéré une faille ?
La sécurité informatique exige non seulement de la conception mais de l'humilité. Si par hasard – expert cyber ou testeur de la communauté – vous identifiez la moindre faille sur notre système : merci de ne pas l'exploiter.
Nous adhérons aux principes du Responsible Disclosure. Contactez immédiatement notre équipe sécurité pour le traitement pro-actif d'un patch.
Cellule sécurité dédiée
security@foliodesk.ioDernière révision · 1 juillet 2026
Pour les questions techniques approfondies dans le cadre d'une évaluation enterprise (DPA, due diligence sécurité), contactez l'équipe sécurité.