Toutes les mesures listées ci-dessous sont implémentées et en production. Chacune est rattachée aux contrôles de l'ISO 27001:2022 Annex A qu'elle adresse, pour faciliter le travail des auditeurs et des prospects qui demandent un mapping.
Toutes les communications HTTP entre les navigateurs / apps mobiles et Maestor sont chiffrées en TLS 1.3 (downgrade impossible). Certificats Let's Encrypt renouvelés automatiquement par Infomaniak. HSTS preload activé.
A.8.24 A.8.20 A.8.21 Données sensibles (signatures, identifiants, tokens) chiffrées en AES-256 dans la base de données. Stockage des photos sur l'infrastructure Infomaniak chiffrée au repos par défaut.
A.8.24 A.8.10 Clés API hashées SHA-256 (stockage non-réversible). Expiration configurable, whitelist IP optionnelle, anti-replay via timestamp ±5 min. Audit log de chaque utilisation. Révocation immédiate possible.
A.5.16 A.5.17 A.5.18 A.8.5 A.8.24 3 rôles principaux dans la plateforme : administrateur, vendeur, poseur. Granularité fine par magasin / organisation. Permissions explicites par module (CRM, SAV, facturation, etc.) via le système de feature flags.
A.5.15 A.5.18 A.8.2 A.8.3 Protection anti-CSRF (Cross-Site Request Forgery) sur toutes les requêtes mutables. Content Security Policy stricte appliquée à tout le site. Subresource Integrity (SRI) sur les CDN.
A.8.20 A.8.21 A.8.26 Rate limiting sur les endpoints sensibles : login, inscription, IA, upload, API publique. Détection de motifs d'abus (énumération, attaques brute-force) et blocage automatique des IP fautives.
A.8.20 A.8.21 A.5.7 Purges nocturnes automatiques selon le type de donnée : transcriptions et conversations Sofia à 12 mois, photos et signatures à 36 mois, logs de connexion à 6 mois (respect CNIL). Droit à l'oubli implémenté + export complet sur demande.
A.5.34 A.8.10 A.8.13 Signatures via Yousign (prestataire de services de confiance qualifié eIDAS). Valeur probante équivalente à la signature manuscrite. Traçabilité complète : horodatage, IP, géolocalisation approximative, archivage long-terme.
A.8.24 A.5.32 Export PDF complet des dossiers SAV : timeline horodatée + signatures + photos + communications. Hash SHA-256 du contenu calculé pour prouver l'intégrité au juge en cas de litige. Format opposable.
A.5.28 A.5.33 A.8.24 Sauvegardes automatiques quotidiennes de la base de données et des fichiers utilisateurs. Rétention 30 jours. Stockage redondant Infomaniak (Suisse, datacenters multiples). Restauration possible en 1 clic depuis le Manager.
A.8.13 A.8.14 A.5.30 Journalisation de tous les accès et modifications de données sensibles : qui, quoi, quand, depuis quelle IP. Export pour assurances, procédures qualité ISO et investigations forensiques.
A.8.15 A.8.16 A.5.28 3 environnements isolés : développement, recette (staging), production. Données réelles uniquement en production. Aucun accès direct prod en cas de hotfix sans validation. Procédure de déploiement tracée.
A.8.31 A.8.32 A.8.33 La documentation technique détaillée (architecture cryptographique, configuration HSM, modèle de menaces) est disponible sur demande sous accord de confidentialité. Contactez security@maestor.eu.