RetourDernière mise à jour: 28/03/2026

Politique de Sécurité

Mesures techniques et organisationnelles appliquées par Godia.ai pour protéger vos données et celles de vos utilisateurs.

Objectif de la politique

Godia.ai est un éditeur SaaS d'agents IA conversationnels. Ce document décrit les mesures de sécurité techniques et organisationnelles (TOMs) appliquées à notre plateforme, garantissant la confidentialité, l'intégrité et la disponibilité des données de nos clients et de leurs utilisateurs.

100 % des données sont hébergées en Union Européenne.

Hébergement & Infrastructure

Tous les composants de la plateforme sont hébergés en Union Européenne :

  • Application : Railway (europe-west4, Belgique/Pays-Bas, UE), certifié SOC 2
  • Base de données : PostgreSQL 16 managé par Neon (UE), certifié SOC 2 Type II, réplication multi-zone
  • Moteur IA : Mistral AI SAS (France, UE). Les données ne sont pas utilisées pour l'entraînement des modèles.
  • Emails transactionnels : Mailjet/Sinch (France, UE), certifié ISO 27001
  • Authentification OAuth : Google / Microsoft, flux Authorization Code PKCE (aucune donnée métier transférée)

Aucun transfert de données hors Union Européenne.

Gouvernance et Organisation

  • DPO externe désigné : dpo@godia.ai
  • Contact sécurité : security@godia.ai (SLA de réponse : 4h pour les incidents critiques)
  • Responsabilité sécurité : portée par la direction technique
  • Sensibilisation : bonnes pratiques de sécurité et RGPD diffusées en interne

Contrôle des Accès (IAM)

  • Authentification multi-facteurs (MFA / TOTP)

    TOTP (Time-based One-Time Password) disponible pour tous les utilisateurs du portail client. Activation via Profil → Sécurité. Dès l'activation, la vérification d'un code à 6 chiffres est requise à chaque connexion. Compatible Google Authenticator, Authy, Microsoft Authenticator.

  • SSO (Single Sign-On)

    OAuth2/OIDC via Google et Microsoft, flux Authorization Code PKCE. Le MFA des utilisateurs SSO est délégué au provider d'identité de l'organisation.

  • Gestion des rôles (RBAC)

    Rôles différenciés : Admin (accès complet), Member (opérationnel), Viewer (lecture seule), Custom (permissions granulaires configurables). La permission canExportData est requise pour l'export SIEM, vérifiée côté serveur (HTTP 403 si absente).

  • Désactivation automatique des comptes inactifs

    Job quotidien automatique : avertissement à 60 jours d'inactivité (événement INACTIVITY_WARNING dans le SIEM). Révocation automatique de toutes les sessions à 90 jours (RGPD Art. 32 / DORA Art. 9). Chaque événement est horodaté dans l'audit trail.

Chiffrement des Données

  • En transit

    TLS 1.2 / 1.3 enforced sur toutes les connexions. HTTPS obligatoire, HSTS activé (max-age=31536000). HTTP redirigé automatiquement vers HTTPS.

  • Au repos

    Données sensibles (credentials CRM, OAuth, fichiers prospects) : chiffrement applicatif AES-256-GCM avant persistance. Base de données PostgreSQL : AES-256 au niveau infrastructure (Neon). Backups : AES-256.

  • Clés de session JWT

    RS256, rotation automatique toutes les 7 jours. Clé primaire + clé backup maintenues pour haute disponibilité multi-instances. Jamais transmises en clair.

  • Clés API développeur

    Format godia_live_<base64url-32bytes> : seul le hash SHA-256 est persisté en base. La clé en clair n'est affichée qu'une seule fois à la création, jamais stockée ni récupérable.

Isolation Multi-tenant

Trois niveaux cumulatifs garantissent l'isolation stricte des données entre organisations :

  1. Colonne clientId sur toutes les tables : filtre WHERE client_id = $clientId obligatoire sur chaque requête SQL. Architecturalement impossible d'accéder aux données sans ce filtre.
  2. Middleware d'authentification : injecte et vérifie le clientId à chaque appel API, avant tout accès aux données.
  3. Vérification de propriété sur chaque endpoint : HTTP 403 immédiat si tentative d'accès cross-tenant, même si l'identifiant est connu.

Alertes automatiques en temps réel sur toute tentative de violation d'isolation (TENANT_VIOLATIONS), journalisées dans le SIEM.

Sécurité Réseau & API

  • Rate limiting

    Global : 3 000 req / 15 min par IP (fenêtre glissante). Login : 5 tentatives / 15 min, blocage temporaire automatique. API v1 : 1 000 req / heure par clé. Export SIEM : 10 exports / heure par organisation.

  • En-têtes de sécurité HTTP

    HSTS (max-age=31536000), X-Frame-Options: DENY, X-Content-Type-Options: nosniff, Content-Security-Policy strict activés sur toutes les réponses.

  • Protection CSRF

    Token synchronisé (sessionStorage) + validation côté serveur sur toutes les routes mutantes. Les requêtes GET sont exemptées.

  • CORS

    Liste blanche stricte des origines autorisées. Seules les APIs du widget de chat sont ouvertes volontairement pour permettre l'intégration sur les sites clients.

Journalisation & Monitoring (SIEM)

  • Tables de logs (append-only)

    4 tables non modifiables via l'interface : auth_events (connexions, MFA, révocations), rétention 90 jours. access_logs (accès aux données sensibles, actions admins), rétention 90 jours. client_activity_logs (actions dans le portail), rétention 30 jours. alert_history (alertes sécurité), rétention 90 jours.

  • Export SIEM natif

    Format JSON et CSV depuis le portail client, compatible Elastic, Splunk, QRadar, Microsoft Sentinel. Filtres par période et type d'événement. Isolé par organisation côté serveur. Permission canExportData requise. Rate limit anti-exfiltration : 10 exports / heure.

  • Alertes automatiques (6 règles actives)

    Brute force login, violations d'isolation tenant, tokens invalides, anomalies d'accès, inactivité prolongée : notification email immédiate via Mailjet dès déclenchement.

Gestion des Vulnérabilités

  • Analyse des dépendances

    npm audit intégré à chaque build. Alertes automatiques sur les vulnérabilités connues dans les dépendances.

  • SLA de correction

    Critique : 48h / Haute : 7 jours / Moyenne : 30 jours / Faible : prochaine release.

  • Tests de pénétration

    Pentest externe par un tiers certifié planifié H2 2026. Tests de sécurité internes réalisés à chaque release majeure.

  • Divulgation responsable

    Programme officiel disponible sur notre page dédiée. Signalement via security@godia.ai (SLA de réponse : 48h pour toute vulnérabilité signalée).

Développement Sécurisé

  • Validation des entrées

    Zod (schémas stricts TypeScript) sur 100 % des routes backend. Rejet systématique des données non conformes au schéma attendu.

  • Prévention des injections SQL

    Drizzle ORM, requêtes paramétrées uniquement. Aucune concaténation de chaînes SQL dans la base de code.

  • Revues de code

    Systématiques sur chaque pull request avant merge en production.

  • Gestion des secrets

    Variables d'environnement Railway, jamais dans le code source ni le dépôt Git. Credentials OAuth et CRM chiffrés AES-256-GCM avant persistance.

  • Segmentation des environnements

    Environnements production et développement séparés, base de données et variables d'environnement distinctes. Aucun accès croisé prod/dev.

Résilience Opérationnelle

  • RTO / RPO

    RTO (Recovery Time Objective) : < 15 minutes, redémarrage automatique Railway. RPO (Recovery Point Objective) : 24 heures, backup quotidien Neon.

  • SLA de disponibilité

    99,5 % mensuel garanti, 99,9 % contractualisable. Voir notre SLA complet. Statut en temps réel : status.godia.ai.

  • Sauvegardes

    Backups quotidiens chiffrés AES-256, managés par Neon. Rétention 30 jours. Réplication multi-zone UE.

  • Mode dégradé

    En cas d'indisponibilité du moteur IA, les données existantes (conversations, prospects, analytics) restent accessibles. Messages d'erreur explicites retournés, aucun fallback silencieux.

Gestion des Incidents

  • Processus de traitement

    Détection via alertes SIEM → qualification interne → notification client (SLA 4h pour incidents critiques) → remédiation → rapport post-incident (REX).

  • Rapports post-incident (REX)

    Disponibles dans le portail client : création, suivi et clôture depuis l'interface. Chaque incident documenté avec chronologie, impact et mesures correctives.

  • Notification réglementaire

    Procédure documentée : notification des autorités de contrôle dans les 72 heures en cas de violation de données à caractère personnel (RGPD Art. 33). Notification email automatique aux organisations affectées.

  • Support opérationnel

    L1 : ticket in-app → L2 : support@godia.ai → L3 : direction technique → L4 : urgence sécurité security@godia.ai (SLA 4h).

Conformité RGPD & DORA

  • DPIA (Art. 35 RGPD)

    Analyse d'impact formalisée (mars 2026), 4 traitements documentés : conversations IA, gestion des prospects, authentification, journalisation SIEM. Disponible sur demande.

  • Registre ICT (DORA)

    Complet et opérationnel. Prestataires ICT formalisés dans la DPIA : Mistral AI SAS (France), Railway (infrastructure), Neon (base de données).

  • Module REX (DORA)

    Rapports post-incident accessibles depuis le portail client, signalement d'incident intégré, suivi et clôture depuis l'interface.

  • Export SIEM (DORA)

    JSON/CSV depuis le portail, compatible avec les outils SIEM du marché (Elastic, Splunk, QRadar, Microsoft Sentinel).

  • DPA Art. 28 RGPD

    Convention de traitement disponible à la signature avant tout démarrage de relation contractuelle. Contact : legal@godia.ai.

  • Stratégie de sortie

    Export complet des données fourni sous 30 jours en cas de résiliation. Suppression définitive sous 60 jours. Aucun lock-in propriétaire : PostgreSQL standard, données exportables en JSON/CSV.

Contacts Sécurité