Sécurité et conformité
Date d'entrée en vigueur : 16 février 2026 — Dernière mise à jour : 28 février 2026
Introduction
Chez ZeroSuite, INC., la sécurité est au cœur de notre ingénierie. La présente page décrit nos mesures de sécurité techniques, nos certifications, nos procédures de réponse aux incidents et notre programme de divulgation responsable.
ZeroSuite est une C-Corporation enregistrée dans le Delaware (États-Unis), avec un siège opérationnel à Abidjan (Côte d'Ivoire) et une infrastructure hébergée dans l'Union européenne.
1. Mesures de sécurité techniques
1.1. Chiffrement
- En transit : TLS 1.3 obligatoire pour toutes les connexions. Les protocoles TLS 1.0 et 1.1 sont désactivés. Certificats gérés via Cloudflare.
- Au repos : AES-256 pour toutes les données stockées sur disque. Chiffrement intégral des volumes de stockage.
- Clés API : hachées avec SHA-256 avant stockage. Les clés en clair ne sont affichées qu'une seule fois lors de la création.
1.2. Authentification et contrôle d'accès
- Mots de passe : hachés avec bcrypt (facteur de coût adapté).
- Stockage mobile : jetons d'authentification stockés dans iOS Keychain et Android Keystore.
- RBAC : contrôle d'accès basé sur les rôles avec principe du moindre privilège.
- OAuth 2.0 : authentification via fournisseurs tiers (Google, GitHub, Discord, LinkedIn, Apple, Telegram).
1.3. Infrastructure
- Hébergement : serveurs Hetzner dans l'Union européenne (Allemagne, Finlande).
- Protection DDoS : Cloudflare en frontal pour toutes les requêtes.
- Isolation : services isolés par conteneurisation avec segmentation réseau.
- Sauvegardes : sauvegardes automatiques quotidiennes, chiffrées et géo-répliquées.
2. Conformité par produit
0fee.dev — Paiements
- PCI DSS : ZeroSuite ne stocke, ne traite ni ne transmet de numéros de carte bancaire. Les paiements par carte sont délégués à des prestataires certifiés PCI DSS de niveau 1 (Stripe). ZeroSuite opère dans le périmètre SAQ-A.
- Mobile Money : intégration via des partenaires agréés (Hub2, PawaPay, BUI) conformément aux réglementations des opérateurs télécoms.
Déblo.ai — Éducation IA
- RGPD : conformité complète au Règlement général sur la protection des données, y compris l'article 8 relatif aux mineurs.
- COPPA : conformité au Children's Online Privacy Protection Act pour les utilisateurs de moins de 13 ans.
- Politique Familles Google Play : conformité aux exigences pour les applications destinées aux enfants.
- Apple App Store — Section 1.3 : conformité aux directives d'Apple relatives aux enfants.
Tous les produits
- RGPD : tous les services ZeroSuite sont conçus pour être conformes au RGPD (Privacy by Design).
- SOC 2 Type II : certification prévue pour le T4 2026.
3. Gestion des vulnérabilités
- Analyse des dépendances : surveillance continue des vulnérabilités dans les dépendances logicielles.
- Mises à jour de sécurité : correctifs critiques appliqués sous 24 heures, correctifs importants sous 7 jours.
- Tests de pénétration : tests de pénétration réguliers par des prestataires indépendants.
- Revue de code : toutes les modifications de code critiques font l'objet d'une revue de sécurité.
4. Réponse aux incidents
ZeroSuite dispose d'une procédure structurée de réponse aux incidents de sécurité :
- Détection : surveillance continue 24/7 avec alertes automatisées.
- Classification : évaluation de la gravité (critique, élevée, modérée, faible) dans l'heure suivant la détection.
- Confinement : mesures immédiates pour limiter l'impact de l'incident.
- Notification : les utilisateurs concernés sont notifiés dans les délais les plus brefs. Conformément au RGPD, l'autorité de contrôle est notifiée dans un délai de 72 heures en cas de violation de données personnelles.
- Remédiation : correction de la vulnérabilité et mise en place de mesures préventives.
- Rapport post-incident : analyse complète et documentation des leçons tirées.
5. Divulgation responsable
ZeroSuite encourage la communauté de sécurité à signaler les vulnérabilités de manière responsable.
Comment signaler
- Envoyez un courrier électronique à [email protected].
- Incluez une description détaillée de la vulnérabilité et les étapes de reproduction.
- Ne publiez pas la vulnérabilité avant que nous ayons eu le temps de la corriger.
Nos engagements
- Accusé de réception sous 24 heures.
- Mise à jour du statut sous 5 jours ouvrables.
- Aucune poursuite judiciaire contre les chercheurs agissant de bonne foi.
- Crédit public (avec votre accord) dans nos notes de version.
Périmètre
- Tous les domaines *.zerosuite.dev, 0fee.dev, otpx.dev, 0sh.dev, 0cron.dev, 0seat.dev, 0sql.dev, 0diff.dev, flin.dev, deblo.ai.
- API publiques et SDK.
- Applications mobiles Déblo.ai.
6. Tableau de conformité
| Cadre réglementaire | Statut | Produits concernés |
|---|---|---|
| RGPD | Conforme | Tous les produits |
| COPPA | Conforme | Déblo.ai |
| PCI DSS (SAQ-A) | Conforme | 0fee.dev |
| Politique Familles Google Play | Conforme | Déblo.ai |
| Apple App Store 1.3 | Conforme | Déblo.ai |
| SOC 2 Type II | Prévu T4 2026 | Tous les produits |
| TLS 1.3 | Actif | Tous les produits |
| AES-256 (repos) | Actif | Tous les produits |
7. Contact
Pour toute question relative à la sécurité et à la conformité de ZeroSuite, veuillez nous contacter :
ZeroSuite, INC.
Sécurité : [email protected]
Confidentialité : [email protected]
Juridique : [email protected]
Delaware, États-Unis • Abidjan, Côte d'Ivoire