Vos contrats méritent le plus haut niveau de protection.
Hébergement européen, chiffrement AES-256, conformité RGPD & eIDAS. La sécurité n'est pas une option.
5 engagements pour la protection de vos données
Hébergement Europe
Données hébergées exclusivement sur des serveurs en Europe
Chiffrement AES-256-GCM
Données sensibles chiffrées au repos. HTTPS/TLS en transit.
Conformité RGPD
Privacy by Design. DPA disponible. Droits des personnes supportés.
Aucune utilisation IA
Vos contrats ne sont jamais utilisés pour l'entraînement de l'IA. PII supprimées avant analyse.
Audit trail complet
Conforme ISO 27001. Vérification d'intégrité. Conservation minimum 90 jours.
Détails techniques
Chaque couche de Pactolane est conçue pour protéger vos données contractuelles.
Chiffrement au repos
AES-256-GCM avec dérivation de clé scrypt. AAD (Additional Authenticated Data) pour prévenir les manipulations.
Chiffrement en transit
HTTPS/TLS pour toutes les communications client-serveur.
Mots de passe
Hashés par bcrypt (10 rounds) — irréversible. Aucun mot de passe stocké en clair.
Tokens OAuth
Chiffrés AES-256 en base de données. Jamais stockés en clair.
Données personnelles des tiers
Emails, téléphones, adresses chiffrés au repos (RGPD Art. 32).
Vérification HMAC
SHA-256 en temps constant pour tokens et webhooks. Prévention des attaques temporelles.
Isolation multi-tenant
Chaque organisation ne voit que ses propres données. Cache avec TTL.
Protection CSRF
Token anti-falsification conforme ISO 27001 A.14.1.2.
Validation des fichiers
Vérification du type MIME réel par magic bytes (PDF, PNG, JPEG, GIF, WebP, DOCX).
Sanitisation PII pour l'IA
14 types de données personnelles supprimées avant envoi (emails, téléphones, IBAN, NIR, etc.).
Vos droits, implémentés nativement
Chaque droit prévu par le RGPD est supporté techniquement dans Pactolane.
Droit d'accès
Consultation de toutes ses données personnelles depuis les paramètres du compte.
Droit à la portabilité
Export complet en ZIP (PDF récapitulatif + 9 fichiers JSON), dans la langue de l'utilisateur.
Droit à l'effacement
Suppression du compte et anonymisation des données. Suppression de ~60 types de données en transaction.
Consentement
Recueil explicite du consentement pour chaque traitement. Consentement IA spécifique requis.
Sécurité du traitement
Chiffrement AES-256 des données personnelles des tiers en base de données.
Minimisation
Seules les données strictement nécessaires sont collectées et traitées.
Authentification & gestion des rôles
Rôles granulaires
Plusieurs niveaux de rôles pour séparer administration, validation, consultation et accès externe
60+ permissions
Contrôle granulaire par ressource et par action
MFA (TOTP)
Authentification multi-facteurs avec 10 codes de récupération
Rate limiting
Protection anti-brute force sur les endpoints sensibles
Sessions sécurisées
JWT (HS256, 7 jours), cookie httpOnly, vérification de version de token
Signature électronique conforme au règlement européen
Niveau SES
Signature Électronique Simple conforme eIDAS (UE 910/2014)
Vérification d'identité
Vérification par code OTP envoyé par email, avec expiration et limite de tentatives
Audit trail
Horodatage, adresse IP, User-Agent, hash du document
Certificats
Génération, validation, révocation de certificats numériques
Conservation
Logs conservés minimum 90 jours
Chaque action tracée. Chaque preuve conservée.
Vos questions sur la sécurité
Des questions sur la sécurité ?
Notre équipe est disponible pour répondre à toutes vos questions techniques et de conformité.