QillawRetour au site

Sécurité et protection des données

Dernière mise à jour : 6 juin 2026

1. Notre engagement

La sécurité est une priorité pour Qillaw. Nous mettons en œuvre des mesures techniques et organisationnelles conçues pour protéger les données de nos utilisateurs et la continuité du service.

Cette page présente un résumé de nos pratiques. Elle ne constitue pas une garantie absolue de sécurité.

Contact sécurité : contact@qillaw.com

2. Architecture et hébergement

ComposantDescription
ApplicationNext.js hébergée sur Vercel (edge/CDN, HTTPS)
Base de donnéesSupabase (PostgreSQL)
AuthentificationSupabase Auth (JWT, cookies sécurisés)
PaiementsStripe (PCI-DSS — aucune carte stockée chez Qillaw)
EmailsResend (emails transactionnels)
IAOpenAI API (génération de contenu)
Données GoogleApify / API Google (données publiques Business)

Région principale des données : Union européenne (région Supabase du projet, typiquement `eu-west-1` ou équivalent)

3. Mesures techniques

3.1. Chiffrement

  • En transit : TLS 1.2+ (HTTPS) sur l'ensemble du site et des API
  • Au repos : chiffrement AES-256 (PostgreSQL Supabase), stockage chiffré côté Vercel

3.2. Authentification et accès

  • Mots de passe hashés (via Supabase Auth — jamais en clair)
  • Sessions sécurisées via cookies httpOnly
  • Row Level Security (RLS) sur PostgreSQL — chaque utilisateur n'accède qu'à ses propres données
  • Clé service-role strictement serveur-side, jamais exposée au client

3.3. Séparation des environnements

  • Environnements de développement et production séparés (projets Supabase et déploiements Vercel distincts)
  • Secrets stockés dans des variables d'environnement (Vercel), non versionnés

3.4. Protection applicative

  • Validation des entrées (Zod)
  • Rate limiting sur endpoints sensibles (génération anonyme, analytics)
  • Middleware d'authentification sur routes protégées
  • CORS contrôlé sur l'API analytics

3.5. Surveillance

  • Logs d'erreurs serveur via Vercel Logs (runtime Next.js)
  • Alertes : monitoring Vercel (disponibilité, erreurs 5xx) ; pas de Sentry configuré à ce jour

4. Mesures organisationnelles

  • Accès aux données de production limité à Kevin Daburon (responsable du service)
  • Principe du moindre privilège
  • Procédure de gestion des incidents : notification clients sous 72 h, confinement, analyse post-mortem interne
  • Revue périodique des accès et des sous-traitants : annuelle

5. Sauvegardes et continuité

ÉlémentDétail
Sauvegardes BDDQuotidiennes automatiques (Supabase) ; rétention 7 à 30 jours selon plan
Plan de repriseRTO cible : 24 h — RPO cible : 24 h (sauvegardes quotidiennes)
RedondanceInfrastructure cloud multi-zones (selon prestataires)

6. Intelligence artificielle

Qillaw utilise des modèles d'IA tiers (OpenAI) pour générer du contenu.

Mesures :

  • Les prompts peuvent contenir des données publiques Google Business
  • Nous ne vendons pas vos données à OpenAI
  • Configuration API : données transmises via l'API OpenAI non utilisées pour l'entraînement des modèles (paramètre contractuel standard OpenAI API)
  • L'Utilisateur doit valider les contenus générés avant publication

Recommandation : ne pas soumettre de données sensibles ou confidentielles non nécessaires à la génération.

7. Analytics et vie privée

  • Analytics des sites générés : visiteurs anonymisés (hash), consentement cookies requis
  • Pas de revente de données analytics
  • Agrégations mises en cache pour limiter les requêtes

Voir Politique de cookies.

8. Sous-traitants et conformité

Nous sélectionnons des prestataires reconnus disposant de mesures de sécurité robustes. Les principaux disposent de :

  • Supabase : SOC 2 Type II
  • Vercel : SOC 2 Type II
  • Stripe : PCI-DSS Level 1, SOC 1/2
  • OpenAI : SOC 2 Type II
  • DPA / SCC pour les transferts internationaux

Liste complète : Politique de confidentialité et DPA.

9. Gestion des incidents

En cas de violation de données personnelles susceptible d'affecter vos droits :

  1. Analyse et confinement de l'incident
  2. Notification aux clients concernés (sous-traitant) sous 72 h si requis
  3. Notification à la CNIL par le responsable de traitement le cas échéant
  4. Mesures correctives et post-mortem interne

Signaler une vulnérabilité : contact@qillaw.com

Pas de programme bug bounty public à ce jour ; les signalements responsables sont examinés et peuvent faire l'objet d'une reconnaissance.

10. Vos responsabilités

En tant qu'utilisateur, vous contribuez à la sécurité en :

  • choisissant un mot de passe robuste et unique ;
  • ne partageant pas vos identifiants ;
  • vérifiant les contenus publiés sur vos sites ;
  • configurant correctement vos domaines personnalisés ;
  • informant vos visiteurs (RGPD, cookies) sur vos sites générés.

11. Certifications Qillaw

Certifications propres à Qillaw : Aucune certification ISO/SOC propre à ce jour.

Nous nous appuyons sur les certifications de nos sous-traitants infrastructurels.

12. Évolution

Nous améliorons continuellement nos pratiques de sécurité. Cette page est mise à jour lors de changements significatifs.

Dernière revue interne sécurité : 6 juin 2026

13. Contact

Sécurité & données : contact@qillaw.com

DPO : Non désigné — contact@qillaw.com