Politique de sécurité

Les mesures techniques et organisationnelles qui protègent les données confiées à inzo.

Version 1.0 — en vigueur au 7 juillet 2026

1. Définitions

« Chiffrement en transit » : protection des échanges entre votre navigateur et nos serveurs (TLS). « Chiffrement au repos » : protection des données stockées sur disque. « RLS » (Row Level Security) : règles appliquées par la base de données garantissant que chaque Utilisateur n'accède qu'à ses propres lignes de données.

2. Authentification

L'accès aux comptes repose sur un couple identifiant / mot de passe. Les mots de passe ne sont jamais stockés en clair : ils sont hachés par l'infrastructure d'authentification Supabase. Les formulaires sensibles (connexion, inscription, récupération de mot de passe) sont protégés par le dispositif anti-robots Cloudflare Turnstile. La récupération de mot de passe s'effectue par lien à usage unique et à durée limitée. L'authentification multifacteur (MFA) sera proposée dans une version ultérieure ; la présente politique sera mise à jour à cette occasion.

3. Cloisonnement des données

Toutes les tables de la base de données sont protégées par des règles RLS : un Propriétaire n'accède qu'à ses biens, ses locataires et ses documents ; un Locataire n'accède qu'aux données de sa propre location. Les opérations d'administration s'exécutent exclusivement côté serveur, avec une clé de service jamais exposée au navigateur.

4. Chiffrement

L'ensemble des échanges est chiffré en transit (HTTPS/TLS). Les données et documents sont chiffrés au repos par l'hébergeur (Supabase, infrastructure localisée dans l'Union européenne).

5. Stockage des documents

Les documents privés (contrats, états des lieux, pièces) sont stockés dans des espaces non publics et ne sont accessibles que par des URLs signées à durée de validité limitée, générées après vérification des droits de l'Utilisateur. Le détail figure dans la Politique du coffre-fort documentaire.

6. Protection des documents PDF

Chaque document généré (quittance, reçu, avis d'échéance, état des lieux) comporte un numéro unique, un horodatage, et une empreinte numérique SHA-256 calculée à partir de ses données essentielles. Un QR code permet de vérifier l'authenticité du document sur une page publique de vérification, sans exposer d'autres données que celles nécessaires à la vérification.

7. Journalisation

Les envois d'emails (quittances, avis, relances, invitations) sont journalisés avec leur statut, leur destinataire et leur date, afin d'assurer la traçabilité des communications. Les journaux techniques d'infrastructure sont conservés par nos hébergeurs. Durées : voir la Politique de conservation des données.

8. Sauvegardes

La base de données bénéficie des sauvegardes automatiques quotidiennes de l'hébergeur. Les modalités de restauration sont testées lors des opérations de maintenance. Voir également la Politique d'archivage.

9. Serveurs et mises à jour

L'application s'exécute sur des infrastructures gérées (Vercel, Supabase) bénéficiant de correctifs de sécurité continus. Les dépendances logicielles d'inzo sont maintenues à jour et chaque déploiement est identifié par un numéro de version visible dans l'application.

10. Signalement de vulnérabilité

Toute vulnérabilité présumée peut être signalée de façon responsable à contact@inzo.immo. Nous nous engageons à accuser réception sous 72 heures et à ne pas poursuivre les chercheurs de bonne foi agissant sans dégradation du service ni accès aux données de tiers.

Conclusion

La sécurité est un processus continu : cette politique est revue à chaque évolution majeure de la Plateforme (paiement des loyers, API publique, application mobile).