Sécurité

Dernière mise à jour : 26 décembre 2025

1. Notre engagement en matière de sécurité

Chez Campora Cloud, exploité par Campora Tech, S.L. (Torredembarra, Espagne), la sécurité est un principe fondamental. Nous appliquons des mesures de niveau entreprise pour protéger les données, maintenir l'intégrité du système et assurer la continuité d'activité.

2. Sécurité de l'infrastructure

2.1 Infrastructure cloud

  • Fournisseur : Amazon Web Services (AWS), uniquement dans des régions de l'UE
  • Certifications : ISO 27001, SOC 2 Type II, PCI DSS Level 1
  • Centres de données : installations Tier III+ avec redondance d'alimentation, de climatisation et de réseau
  • Redondance géographique : déploiement multirégion pour la reprise après sinistre

2.2 Sécurité réseau

  • Pare-feux : Web Application Firewall (WAF) pour bloquer le trafic malveillant
  • Protection DDoS : AWS Shield Standard et Advanced
  • Segmentation : VPC isolés avec règles de sécurité strictes
  • Détection d'intrusion : supervision en temps réel et réponse automatisée

3. Sécurité des données

3.1 Chiffrement

  • En transit : TLS 1.3 pour toutes les transmissions de données (minimum TLS 1.2)
  • Au repos : chiffrement AES-256 pour toutes les données stockées
  • Bases de données : chiffrement complet avec rotation des clés
  • Sauvegardes : sauvegardes chiffrées avec des clés distinctes

3.2 Isolation des données

  • Multi-tenant : isolation logique complète entre clients
  • Séparation des données : isolation au niveau du schéma et contrôles au niveau des lignes
  • Contrôles d'accès : autorisations strictes pour empêcher l'accès entre clients

3.3 Sauvegardes et reprise

  • Sauvegardes automatiques : sauvegardes quotidiennes avec rétention de 30 jours
  • Reprise à un instant donné : restauration à tout point dans une fenêtre de 7 jours
  • Redondance géographique : réplication des sauvegardes dans plusieurs régions
  • RTO : 4 heures
  • RPO : 1 heure

4. Sécurité de l'application

4.1 Développement sécurisé

  • Sécurité dès la conception : exigences de sécurité intégrées dès le démarrage
  • Revues de code : revue obligatoire par les pairs pour tous les changements
  • Analyse statique : analyse automatisée dans le pipeline CI/CD
  • Dépendances : surveillance continue des vulnérabilités dans les bibliothèques

4.2 Gestion des vulnérabilités

  • Analyses régulières : évaluations automatisées hebdomadaires
  • Tests d'intrusion : audits externes annuels
  • Programme de divulgation responsable : canal dédié aux chercheurs en sécurité
  • Gestion des correctifs : vulnérabilités critiques corrigées en 24 à 48 heures

4.3 Tests de sécurité

  • Tests face à l'OWASP Top 10
  • Prévention de l'injection SQL et des attaques XSS
  • Protection CSRF sur les opérations sensibles
  • Validation et assainissement des entrées
  • Gestion sécurisée des sessions

5. Contrôle d'accès et authentification

5.1 Authentification des utilisateurs

  • Mots de passe robustes : minimum 12 caractères avec exigences de complexité
  • MFA : disponible pour tous les comptes et obligatoire pour les administrateurs
  • Sessions : déconnexion automatique après 30 minutes d'inactivité
  • OAuth 2.0 : authentification sécurisée pour les intégrations externes

5.2 Contrôle d'accès basé sur les rôles

  • Moindre privilège : chaque utilisateur ne dispose que des permissions nécessaires
  • Permissions granulaires : contrôle fin des modules et fonctionnalités
  • Traçabilité : journalisation complète des accès et des changements
  • Revues régulières : audits trimestriels des droits d'accès

5.3 Accès du personnel

  • Vérifications préalables : évaluation de sécurité pour les employés
  • Accords de confidentialité : NDAs signés par toute l'équipe
  • Accès limité : accès à la production strictement contrôlé
  • Supervision : tout accès du personnel est journalisé et surveillé

6. Supervision et réponse aux incidents

6.1 Supervision de sécurité

  • Supervision 24/7 : supervision continue et alertes permanentes
  • Gestion des journaux : journaux centralisés avec rétention d'un an
  • Détection d'anomalies : identification des comportements suspects
  • Alertes en temps réel : notification immédiate des événements de sécurité

6.2 Réponse aux incidents

  • Plan documenté : procédures définies pour les incidents de sécurité
  • Équipe de réponse : équipe dédiée aux incidents
  • Notification : information des clients sous 72 heures en cas de violation impliquant des données personnelles
  • Revue post-incident : analyse de la cause racine et mesures correctives

7. Conformité et certifications

7.1 Conformité actuelle

  • RGPD : conformité à la réglementation européenne sur la protection des données
  • Directive ePrivacy : conformité aux règles européennes sur les communications électroniques
  • PCI DSS : normes de sécurité pour les cartes de paiement
  • Verifactu : conformité fiscale espagnole pour la facturation

7.2 En cours

  • ISO 27001 : certification du système de management de la sécurité de l'information
  • SOC 2 Type II : audit de sécurité mené par un tiers

8. Continuité d'activité

8.1 Haute disponibilité

  • SLA : garantie de disponibilité de 99,9 %
  • Équilibrage de charge : répartition du trafic sur plusieurs serveurs
  • Autoscaling : ajustement automatique face aux pics de trafic
  • Contrôles d'état : supervision continue et bascule automatique en cas de défaillance

8.2 Reprise après sinistre

  • Déploiement multirégion : configuration actif-passif dans des régions UE
  • Tests réguliers : exercices trimestriels
  • Plan documenté : procédures pour les incidents majeurs

9. Sécurité des tiers

9.1 Gestion des fournisseurs

  • Évaluations de sécurité : diligence raisonnable pour les fournisseurs
  • Contrats : exigences de sécurité incluses dans les accords
  • Revues régulières : évaluation continue de la posture de sécurité de chaque fournisseur

9.2 Sécurité des intégrations

  • Sécurité de l'API : OAuth 2.0 et authentification par clé
  • Limitation de débit : protection contre les abus d'API
  • Validation des entrées : validation stricte de toutes les données externes

10. Sécurité physique

Notre infrastructure est hébergée dans des centres de données AWS disposant de :

  • Personnel de sécurité 24/7
  • Contrôles biométriques d'accès
  • Vidéosurveillance
  • Systèmes d'entrée de type mantrap
  • Audits physiques réguliers

11. Formation et sensibilisation

  • Intégration : formation de base à la sécurité pour les nouvelles recrues
  • Formation annuelle : programme obligatoire de sensibilisation
  • Simulations de phishing : campagnes internes régulières
  • Référents sécurité : personnes de référence en sécurité dans chaque équipe

12. Responsabilités de sécurité du client

Bien que nous fournissions des mesures robustes, les clients sont responsables de :

  • Utiliser des mots de passe forts et uniques
  • Activer l'authentification multifacteur
  • Protéger leurs identifiants
  • Signaler toute activité suspecte
  • Configurer des autorisations appropriées pour les utilisateurs
  • Conserver de manière sécurisée les identifiants d'intégration

13. Signalement des incidents de sécurité

Si vous détectez une vulnérabilité :

  • E-mail : admin@campora.cloud
  • Délai de réponse : nous accuserons réception sous 24 heures
  • Divulgation responsable : nous demandons 90 jours avant toute publication publique
  • Reconnaissance : les chercheurs pourront être reconnus sur notre page sécurité

14. Transparence en matière de sécurité

Nous assurons la transparence grâce à :

  • Page de statut : état du service en temps réel sur status.campora.cloud
  • Rapports d'incident : analyses post-incident pour les événements significatifs
  • Mises à jour de sécurité : communication régulière sur les améliorations
  • Rapports d'audit : disponibles sur demande pour les clients entreprise

15. Questions et contact

Pour toute question ou préoccupation liée à la sécurité :