QuoteForge est construit sur le principe que votre géométrie de pièce et vos données clients vous appartiennent exclusivement. Voici un résumé clair de la façon dont nous les protégeons.
Les contrôles applicatifs et API de QuoteForge sont alignés sur l'OWASP Top 10 et les familles de contrôles CASA (Cloud Application Security Assessment) Tier 2 : sécurité OAuth 2.0, contrôle d'accès, validation des entrées, gestion des secrets et journalisation. Nous ne détenons pas actuellement d'attestation formelle CASA Tier 2 ; ces contrôles constituent notre référentiel de sécurité interne.
Nous n'utilisons pas vos fichiers STEP, devis ou données clients pour entraîner des modèles d'IA ou de machine learning — ni les nôtres ni ceux de tiers.
Le moteur de tarification est entièrement déterministe : il lit votre configuration atelier (machines, matériaux, avances & vitesses) et applique des calculs arithmétiques. Aucun modèle n'est entraîné, aucune donnée ne quitte votre tenant sous forme agrégée.
Pour les fonctionnalités utilisant un LLM (par exemple la génération de commentaires DFM), seules les métadonnées géométriques extraites — pas le binaire STEP brut — sont envoyées à l'appel API LLM. Le LLM est instruit de ne pas journaliser ni conserver le contenu des requêtes.
Chaque requête en base de données est automatiquement restreinte à votre tenant_id au niveau ORM. Il n'existe aucune voie par laquelle un client pourrait lire les devis, fichiers STEP, configurations atelier ou données de contact d'un autre client. L'accès inter-tenant est une impossibilité structurelle, pas seulement une politique.
Tout le trafic entre votre navigateur et nos serveurs est chiffré en transit avec TLS 1.2+. Les connexions vers les sous-services (stockage, base de données, APIs LLM) sont également exclusivement TLS.
Les données au repos — fichiers STEP, PDFs de devis, données clients — sont chiffrées au niveau de la couche de stockage Azure (AES-256).
Les données de paiement sont traitées exclusivement par Stripe. Nous ne voyons, stockons ni transmettons jamais de numéros de carte bruts. Stripe est certifié PCI DSS Niveau 1.
La base de données de production est sauvegardée quotidiennement avec une fenêtre de rétention de 30 jours. Les sauvegardes sont stockées dans une région Azure distincte.
Les fichiers STEP et les PDFs générés sont stockés dans Azure Blob Storage avec réplication géo-redondante.
En vertu du RGPD, vous avez le droit de demander l'export ou la suppression de toutes les données associées à votre compte. Envoyez une demande à [email protected] et nous y donnerons suite dans les 30 jours.
Si vous découvrez un problème de sécurité, veuillez le divulguer de façon responsable en envoyant un e-mail à [email protected].