Sécurité & infrastructure

La sécurité de vos données de conformité

Comment Validx protège vos données : authentification, chiffrement, hébergement en Union européenne et traçabilité. En toute transparence, ce qui est en place et ce qui est sur notre feuille de route.

Authentification et contrôle d'accès

  • Connexion par e-mail et mot de passe, mots de passe jamais stockés en clair (hachés avec bcrypt).
  • Session par cookie JWT signé (bibliothèque jose), en HttpOnly, Secure et SameSite=lax : le jeton n'est pas lisible par du JavaScript et ne circule qu'en HTTPS.
  • Trois rôles distincts : Administrateur, Gestionnaire, Lecteur. L'écriture est réservée aux deux premiers, côté serveur et masquée dans l'interface ; Réglages et Équipe sont réservés à l'Administrateur.
  • Cloisonnement multi-organisations : chaque requête de données est restreinte à l'organisation de la session, un client ne peut jamais voir les données d'un autre.

Chiffrement et transport des données

  • Tout le trafic est chiffré en transit via HTTPS (TLS), avec certificat Let's Encrypt renouvelé automatiquement par Caddy.
  • Durcissement HTTPS en place : HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, redirection automatique de www vers le domaine principal.
  • Les origines autorisées pour les actions serveur sont restreintes au domaine de production.

Hébergement en Union européenne

  • Validx est hébergé sur un serveur OVH situé en Union européenne. Vos données ne quittent pas l'UE.
  • Hébergeur soumis au droit européen et au RGPD, opérateur français indépendant des grands acteurs non européens.
  • Architecture maîtrisée de bout en bout (Caddy, application Next.js, base PostgreSQL sur le même périmètre), sans dépendance à une plateforme tierce non européenne.

Traçabilité : un journal d'audit inviolable

  • Chaque création ou modification est consignée dans un journal d'audit qui suit les principes ALCOA (attribuable, lisible, contemporain, original, exact).
  • Le journal est strictement en ajout seul : le code n'expose aucune fonction de modification ni de suppression d'une entrée d'audit.
  • Les données métier supprimées le sont par archivage horodaté et tracé, jamais effacées en silence : utile le jour d'un contrôle pour prouver l'historique.

Vos données vous appartiennent

  • Export des données d'un salarié au format structuré (JSON) à la demande.
  • Suppression et anonymisation d'un salarié sur demande, avec trace dans le journal d'audit.
  • Conformité RGPD : voir la page Confidentialité et données pour le détail des droits et des sous-traitants.

Ce qui est en place aujourd'hui, et notre feuille de route

  • Honnêteté d'abord : Validx est un produit jeune et indépendant. Nous indiquons clairement ce qui est en place et ce qui ne l'est pas encore.
  • En place : HTTPS/TLS, durcissement des en-têtes, hachage des mots de passe, cloisonnement multi-organisations, journal d'audit en ajout seul, export et suppression RGPD, hébergement UE.
  • Sur la feuille de route, présenté comme tel : sauvegardes automatisées et plan de reprise documenté, supervision applicative, et étude des démarches de certification le moment venu.
  • Nous ne revendiquons aucune certification (SOC 2, ISO 27001, HDS) que nous ne détenons pas.

Une question de sécurité ?

  • Écrivez-nous à contact@validx.fr : le fondateur répond directement.
  • Pour signaler une vulnérabilité, voir la page Divulgation responsable.
  • Un accord de sous-traitance RGPD (DPA) est disponible sur demande.

Prêt à fiabiliser votre conformité ?

Essayez Validx sur un espace de démonstration pré-rempli, ou créez le vôtre en 2 minutes.

Essayer la démoVoir les tarifs