Sécurité & confidentialité

1. Principes clés

• Intégrité: Les preuves sont conçues pour rester traçables et rendre les modifications ultérieures détectables (p. ex. via hash/références selon configuration).
• Confidentialité: L’accès aux zones protégées est basé sur des rôles et des permissions. Les accès suivent le principe du « need-to-know ».
• Disponibilité: L’exploitation vise une disponibilité stable, des déploiements traçables et une résolution rapide des incidents.
• Minimisation des données: Nous ne traitons et ne stockons que les données nécessaires au service. L’étendue dépend des fonctionnalités et de l’usage.

2. Contrôle d’accès & rôles (RBAC)

L’accès aux comptes et aux fonctions administratives repose sur l’authentification et la gestion de session. Les permissions des organisations sont gérées par rôles (RBAC). Les actions sensibles (émission/modification/révocation, import en masse, intégrations) sont vérifiées côté serveur et protégées contre l’exécution non autorisée.

3. Sécurité du transport & des communications

Les données en transit sont typiquement protégées via TLS. Pour les intégrations (API/webhooks), des mécanismes d’authentification et de signature peuvent être utilisés selon le setup (clés/secret API, signatures webhooks). Les détails techniques varient selon l’hébergement/la configuration.

4. Stockage des données & documents (off-chain)

Les documents/pièces jointes (p. ex. PDF) sont généralement stockés off-chain et liés par références. Les accès sont contrôlés par permissions; les pages de vérification publiques appliquent la minimisation des données afin d’afficher uniquement le contexte nécessaire. Selon le setup, des accès limités dans le temps ou des récupérations par token peuvent être utilisés.

5. Journalisation, audit trail & prévention des abus

Des journaux techniques (logs serveur, etc.) peuvent être générés pour l’analyse, la stabilité et la détection d’attaques. Un audit trail d’actions pertinentes peut aussi être conservé (émission, changements d’état, imports, livraisons webhooks) pour la traçabilité et la détection d’abus. Pour les détails sur les données personnelles, consultez la Politique de confidentialité.

6. Intégrité, vérification & références blockchain

Certifylize peut utiliser des mécanismes d’intégrité (hashes, références) et—selon les cas d’usage—un ancrage blockchain. Important : la vérification est un contrôle technique de cohérence/intégrité et ne remplace pas un examen juridique ou réglementaire. Des niveaux de sécurité (p. ex. S1–S4) peuvent fournir des caractéristiques différentes selon la configuration.

7. Responsabilités (émetteur/vérificateur)

Les clients/émetteurs sont responsables des contenus inclus dans les preuves/certificats et métadonnées (données produit, documents, déclarations, validité) et de la conformité de leurs processus lorsqu’il y a des données personnelles. Les vérificateurs doivent demander des preuves supplémentaires en cas critique. Certifylize fournit la plateforme technique, les parcours de vérification et les interfaces d’intégration.

8. Signalement de failles

Si vous suspectez une faille de sécurité, contactez-nous à support@certifylize.com. Merci de ne pas envoyer de données sensibles sans chiffrement.