Édition Cloud Voir l'édition On-Premise →

Sécurité Natalia Analyse Conformité RGPD, chiffrement, RBAC

Name: Natalia
Author: Natalia

Référence pour RSSI et DPO : localisation des données, chiffrement, pseudonymisation, RBAC, audit, rétention, notification de violation, roadmap de conformité.

✅ Hébergement UE ✅ RGPD conforme ✅ DPA art. 28 ✅ Chiffrement TLS 1.2+ ✅ Pen test annuel ⏳ SOC 2 Type I (Q4 2026) ⏳ ISO 27001 (roadmap 2027) ✅ Notification breach <72h ✅ Audit log immuable

Données UE uniquement
Chiffrement at-rest + in-transit
Pseudonymisation des numéros
DPA art. 28 signé
Notif violation < 72h

Localisation des données

Les données CDR sont hébergées exclusivement en Union européenne (Belgique) : stockage relationnel managé et stockage objet managé, résidence UE garantie. Aucun réplica hors UE. Logs applicatifs conservés 30 jours dans la même région.

Chiffrement

At-rest

VM agent : clé scellée par vTPM si disponible, dérivation cryptographique salée en fallback, chiffrement standard de l'industrie (algorithmes NIST SP 800-175B) pour configuration et buffer disque.
Cloud : chiffrement transparent sur les datastores managés, master key gérée par un KMS certifié, séparé physiquement du datastore.

In-transit

TLS 1.2 minimum, TLS 1.3 préféré.
Agent → API vérifie la chaîne de certificats, aucune option de skip.
PKI gérée, rotation automatique des certificats.

Pseudonymisation des numéros

À l'ingestion, chaque numéro est remplacé par un pseudonyme cryptographique dérivé par tenant via une dérivation salée. Seuls les 4 derniers chiffres restent en clair pour l'affichage UI.

Le secret par tenant est stocké chiffré ; la master key reste dans un KMS certifié, séparé physiquement du datastore.

Break-the-glass

L'accès "phone-reveal" exige un motif, atterrit dans le journal d'audit immuable et déclenche une alerte vers l'admin tenant.

RBAC — 3 rôles

Permission	Viewer	Analyst	Admin
`cdr.read`	✓	✓	✓
`cdr.export`	—	✓	✓
`cdr.reveal_phone`	—	—	✓
`api_key.manage`	—	—	✓
`user.manage`	—	—	✓
`audit.read`	—	—	✓

Authentification administrateurs (MFA)

MFA obligatoire sur tous les accès administrateurs cloud. L'accès à l'infrastructure de production passe par un bastion durci, credentials à durée de vie courte, enregistrement complet des sessions.

Isolation multi-tenant

Isolation logique stricte par tenant à chaque couche (API, datastore, stockage objet, journal d'audit). L'accès cross-tenant est impossible par construction, validé à chaque déploiement par des tests d'isolation automatiques.

Hardening de l'appliance agent

Appliance virtuelle légère, image durcie selon le référentiel CIS Benchmark niveau 1 : surface d'attaque minimale, aucun shell utilisateur, SSH désactivé, aucune exposition réseau entrante hors tunnel sortant chiffré vers le cloud.

Continuité de service (RTO / RPO)

Sauvegardes régulières, restauration vérifiée trimestriellement. RTO 4h / RPO 24h. Sauvegardes chiffrées, conservées dans la même région UE, jamais hors Union européenne.

Audit log

Chaque action admin atterrit dans un journal d'audit immuable : qui, quoi, quand, IP source, user-agent, request ID. Export CSV depuis le dashboard. Rétention : 13 mois (12 mois + 1 mois de chevauchement pour les audits).

Rétention

Rétention par défaut : 12 mois, configurable par tenant entre 3 et 13 mois via le support. Purge automatique nocturne des enregistrements expirés (hard delete, pas de soft delete).

DPA et sous-traitants

DPA art. 28 RGPD signé électroniquement à la souscription.
Moteur IA : moteur IA conforme RGPD, aucun transfert de données nominatives hors UE (la pseudonymisation est appliquée en amont de tout traitement IA).
Liste des sous-traitants : un registre à jour des sous-traitants est mis à disposition des clients sous NDA sur demande à [email protected].
Notification 30 jours avant toute modification de la liste des sous-traitants.

Notification de violation

Engagement art. 33 RGPD : notification sous 72h à compter de la prise de connaissance d'une violation. Contact : [email protected].

Procédure : isolation du périmètre compromis, snapshot forensique, notification CNIL, communication client, postmortem public sous 14 jours.

Roadmap conformité

SOC2 Type I: Q4 2026.
ISO 27001: 2027 roadmap.
Pen test annuel.
Vulnerability disclosure : voir getnatalia.com/.well-known/security.txt.

Rotation des clés API

La rotation des clés API se fait via le portail admin. Pendant la rotation, ancienne et nouvelle clé restent valides en parallèle sur une fenêtre de chevauchement de 7 jours, ce qui permet une migration client sans interruption.

Email à l'admin tenant à la rotation et 24h avant la fermeture de la fenêtre de chevauchement.