Retour à l'accueil
Devizly

Sécurité

Dernière mise à jour : mars 2026 · SAS NBHC

En résumé :

  • Chiffrement TLS + AES-256
  • RLS — isolation totale des données
  • PCI-DSS niveau 1 via Stripe

Sommaire

  1. 1. Hébergement des données
  2. 2. Chiffrement
  3. 3. Isolation des données
  4. 4. Paiements sécurisés
  5. 5. Protection contre les abus
  6. 6. Sauvegardes
  7. 7. Signaler une vulnérabilité

1. Hébergement des données

  • Base de données : hébergée par Supabase sur des serveurs AWS situés dans l'Union européenne (région eu-west).
  • Application : hébergée par Vercel avec un CDN global pour des temps de réponse optimaux.
  • IA Mistral : serveurs 100% en France. Les données envoyées à l'IA sont anonymisées et ne sont jamais utilisées pour l'entraînement des modèles.

2. Chiffrement

  • En transit : toutes les communications utilisent le protocole HTTPS/TLS 1.3.
  • Au repos : les données sont chiffrées au repos dans la base de données (AES-256 via AWS).
  • Mots de passe : hachés avec bcrypt via Supabase Auth. Devizly ne stocke jamais de mot de passe en clair.

3. Isolation des données

  • Row Level Security (RLS) : chaque utilisateur n'accède qu'à ses propres données. Impossible de voir les devis, clients ou factures d'un autre compte.
  • Vérification serveur : chaque requête API vérifie l'identité de l'utilisateur via getUser() (validation JWT côté serveur).

Isolation totale

Row Level Security (RLS) garantit que chaque utilisateur n'accède qu'à ses propres données. Aucun accès croisé n'est possible.

4. Paiements sécurisés

  • Stripe : certifié PCI-DSS niveau 1 (le plus haut niveau de conformité). Devizly ne stocke jamais de numéro de carte bancaire.
  • Webhooks : chaque événement Stripe est vérifié via signature HMAC avant traitement.
  • Stripe Connect : les fonds de vos clients transitent directement vers votre compte Stripe, sans passer par Devizly.

PCI-DSS

Stripe est certifié PCI-DSS niveau 1, le plus haut niveau de conformité. Devizly ne stocke jamais de numéro de carte bancaire.

5. Protection contre les abus

  • Rate limiting : les endpoints sensibles (envoi de devis, génération IA, paiement) sont limités à 5 requêtes par minute par IP via Upstash Redis.
  • Anti-abus : limitation à 2 créations de compte par adresse IP par semaine.
  • Signature électronique : conforme eIDAS avec empreinte SHA-256, horodatage, IP et user-agent enregistrés.

6. Sauvegardes

  • Sauvegardes automatiques quotidiennes de la base de données par Supabase (retention 7 jours).
  • Export CSV disponible à tout moment depuis votre tableau de bord.

7. Signaler une vulnérabilité

Si vous découvrez une faille de sécurité, contactez-nous à security@devizly.fr. Nous nous engageons à traiter chaque signalement sous 48 heures.

Important : Signalement

Toute vulnérabilité signalée à security@devizly.fr sera traitée sous 48 heures.

Signaler une vulnérabilité : security@devizly.fr

NBHC SAS — Capital 500 € — RCS Chalon-sur-Saône — SIREN 102 637 899