Documentation Index
Fetch the complete documentation index at: https://docs.qwoty.io/llms.txt
Use this file to discover all available pages before exploring further.
Pratiques de sécurité
Sécurité du développement
Sécurité du développement
- Revue de code : toutes les modifications de code nécessitent une revue avant fusion
- Gestion des dépendances : les dépendances sont régulièrement mises à jour et surveillées pour les vulnérabilités
- Analyse statique : l’analyse de sécurité automatisée fait partie du pipeline CI/CD
- Tests d’intrusion : des évaluations régulières de vulnérabilité et des tests d’intrusion sont réalisés
Contrôles d'accès
Contrôles d'accès
- Accès basé sur les rôles : les équipes supportent les rôles membre, manager et admin avec des permissions distinctes
- Portée des jetons API : les jetons API peuvent être limités à des équipes spécifiques et définis avec des dates d’expiration
- Gestion des sessions : les utilisateurs peuvent consulter et révoquer les sessions actives
- Journalisation d’audit : les actions sur les documents sont journalisées avec horodatages et adresses IP
Sécurité de l’infrastructure
Le service cloud Qwoty utilise les mesures de sécurité suivantes :| Couche | Implémentation |
|---|---|
| Hébergement | Infrastructure AWS hébergée dans des centres de données UE (Irlande, Paris) |
| Réseau | TLS 1.2+ pour toutes les connexions |
| Base de données | Base de données managée avec sauvegardes automatisées et redondance géographique |
| Stockage | Stockage objet chiffré AES-256 pour les documents |
| Surveillance | Surveillance et alertes de l’infrastructure 24/7 |
| Mises à jour | Correctifs de sécurité réguliers appliqués à toute l’infrastructure |
Chiffrement des données
Chiffrement en transit
Chiffrement en transit
Toutes les données transmises vers et depuis Qwoty sont chiffrées en utilisant TLS 1.2 ou supérieur. Cela inclut :
- Le trafic de l’application web
- Les requêtes API
- La livraison d’emails (lorsque supporté par le serveur de réception)
- Les payloads des webhooks
Chiffrement au repos
Chiffrement au repos
Pour Qwoty Cloud :
- Le contenu de la base de données est chiffré au repos en utilisant AES-256
- Le stockage des documents utilise un stockage objet chiffré
- Les sauvegardes sont chiffrées avec redondance géographique
- Les clés de chiffrement sont gérées avec rotation régulière
Sécurité de l’authentification
Méthodes d’authentification supportées
| Méthode | Description |
|---|---|
| Email et mot de passe | Authentification traditionnelle avec mots de passe hashés |
| Fournisseurs OAuth | Authentification Google et Microsoft |
| SSO d’équipe | Authentification unique basée sur SAML pour les équipes entreprise |
| Authentification à deux facteurs | 2FA basée sur TOTP avec codes de récupération |
Exigences de mot de passe
- Longueur minimale requise
- Les mots de passe sont hashés avec bcrypt avant stockage
- Les jetons de réinitialisation de mot de passe ont une durée limitée et sont à usage unique
Sécurité des sessions
- Les sessions peuvent être consultées et révoquées depuis les paramètres du compte
- Les jetons de session sont renouvelés lors des événements d’authentification
- Les sessions inactives expirent après une période configurable
Divulgation de vulnérabilités
Qwoty opère un processus de divulgation responsable des vulnérabilités de sécurité.Signaler une vulnérabilité
Signaler une vulnérabilité
Si vous découvrez une vulnérabilité de sécurité, veuillez la signaler par email à :security@qwoty.ioIncluez les informations suivantes :
- Description de la vulnérabilité
- Étapes pour reproduire
- Impact potentiel
- Corrections suggérées (optionnel)
Délais de réponse
Délais de réponse
| Étape | Délai |
|---|---|
| Accusé de réception | Sous 48 heures |
| Triage initial | Sous 5 jours |
| Mise à jour du statut | Sous 10 jours |
| Objectif de résolution | Selon la sévérité |
Périmètre
Périmètre
- Dans le périmètre
- Hors périmètre
- Code applicatif Qwoty
- Failles d’authentification et d’autorisation
- Vulnérabilités d’exposition de données
- Vulnérabilités d’injection
- Cross-site scripting (XSS)
- Cross-site request forgery (CSRF)
Reconnaissance
Reconnaissance
Nous reconnaissons les chercheurs en sécurité qui divulguent de manière responsable les vulnérabilités. Avec votre permission, nous vous créditerons lors de la publication du correctif.
Mises à jour de sécurité
Notification
Les mises à jour de sécurité sont annoncées via :- Le changelog Qwoty
- Une notification directe par email aux clients concernés lorsque pertinent
Politique de mise à jour
- Les vulnérabilités critiques sont corrigées aussi rapidement que possible
- Les notes de version incluent toutes les modifications liées à la sécurité
Contact
Pour les demandes liées à la sécurité :- Vulnérabilités de sécurité : security@qwoty.io
- Questions générales : contact@qwoty.io
- Adresse postale : DOYE SAS, 18 rue Vignon, 75009 Paris, France