DickPic Pro Legal
English Русский Deutsch Français Español Português (BR)
Se connecter Obtenir une clé API

Sécurité

Traduction de courtoisie. Ce document est une traduction de l'original en anglais et est fourni uniquement pour en faciliter la compréhension. Seule la version anglaise fait foi ; en cas de divergence entre la traduction et l'original, le texte anglais prévaut.

Date d'entrée en vigueur : 2026-06-18
Dernière mise à jour : 2026-06-18
Version : 1.0

La présente page décrit les mesures techniques et organisationnelles que nous mettons en œuvre pour protéger les données que nous traitons. Ces mesures font l'objet d'un réexamen et peuvent évoluer avec le temps.

1. Minimisation des données par l'architecture

  • Traitement transitoire des images. Les images soumises ne sont pas stockées au repos. Elles ne sont conservées qu'en mémoire et dans des tampons de traitement temporaires pendant la durée de l'analyse, puis supprimées immédiatement après. Il s'agit de la mesure centrale de minimisation des données du Service.
  • Conservation limitée dans le temps des PDF. Les rapports PDF générés sont conservés pendant une durée déterminée (7, 14 ou 30 jours selon le produit) puis supprimés automatiquement.
  • Suppression à l'initiative de l'utilisateur. Les utilisateurs peuvent supprimer une analyse spécifique à la demande, ce qui supprime le PDF, l'aperçu et les métadonnées opérationnelles.
  • Aucune conservation à long terme de contenu personnel dans les journaux. Les journaux opérationnels ne contiennent aucun contenu personnel. Les journaux applicatifs ne sont conservés que le temps nécessaire au diagnostic et sont purgés régulièrement (rotation).

2. Chiffrement

  • En transit : TLS 1.2 ou supérieur pour toutes les connexions client et pour les connexions entre nos services et les sous-traitants ultérieurs.
  • Au repos : le stockage objet utilise un chiffrement géré par le fournisseur (Cloudflare R2). Le stockage de la base de données applicative est chiffré au niveau du disque par l'hébergeur.
  • Mots de passe : stockés uniquement sous forme de hachages bcrypt. Les mots de passe en clair ne sont jamais stockés.
  • Clés API : stockées uniquement sous forme de hachages SHA-256. Les clés en clair sont affichées une seule fois à la création et jamais ensuite.
  • Signatures de webhook : les charges utiles des webhooks sont signées avec HMAC-SHA256 à l'aide d'un secret propre à chaque clé, permettant aux destinataires de vérifier l'authenticité.

3. Contrôles d'accès

  • Authentification des utilisateurs via des cookies de session (HttpOnly, Secure, SameSite=Lax).
  • Authentification des intégrations API via des clés API à permissions restreintes et révocables.
  • Protection CSRF sur toutes les requêtes web modifiant l'état.
  • Contrôles d'accès basés sur les rôles séparant les contextes administrateur, agence, model et API.
  • Principe du moindre privilège pour les comptes de service et l'accès à l'infrastructure.

4. Sécurité du réseau et des applications

  • Application exclusive de HTTPS avec HSTS.
  • En-têtes de réponse de sécurité (X-Content-Type-Options, X-Frame-Options, Content-Security-Policy, Referrer-Policy).
  • Limitation de débit au niveau des requêtes pour atténuer les attaques par force brute et les abus.
  • Validation des entrées et requêtes de base de données paramétrées pour atténuer les attaques par injection.
  • Garde-fous d'idempotence sur les points de terminaison de mutation pour atténuer les abus par rejeu et par soumission en double.

5. Sécurité opérationnelle

  • Sauvegardes effectuées régulièrement et conservées pendant une durée limitée ; restauration testée périodiquement.
  • Surveillance de l'état du service, des taux d'erreur et des activités anormales.
  • Vérifications par battement de cœur (heartbeat) des processus d'arrière-plan ; alerte en cas de blocage.
  • Gestion des changements avec migrations versionnées et déploiements audités.
  • Réexamen périodique des privilèges d'accès, des secrets et des versions des dépendances.

6. Réponse aux incidents

Nous maintenons une procédure interne de gestion des incidents de sécurité, comprenant l'identification, le confinement, l'investigation et la notification. Lorsqu'une violation de données à caractère personnel affecte des données que nous traitons, nous en informerons les Clients concernés et, le cas échéant, les autorités de régulation et les personnes concernées, conformément au droit applicable et à l'Accord de traitement des données.

7. Sécurité des sous-traitants ultérieurs

Nous ne faisons appel à des sous-traitants ultérieurs que lorsqu'ils satisfont à nos exigences de sécurité. Chaque sous-traitant ultérieur est contractuellement tenu à des obligations de sécurité substantiellement équivalentes à celles décrites ici. Notre liste actuelle de sous-traitants ultérieurs est publiée à l'adresse /legal/subprocessors.

8. Limites

Aucun système ne peut garantir une sécurité absolue. Les mesures décrites ici visent à réduire le risque, non à l'éliminer. Les utilisateurs doivent prendre leurs propres dispositions pour protéger leur compte : utiliser un mot de passe fort et unique, garder leurs identifiants confidentiels et signaler rapidement toute compromission présumée.

9. Signaler une vulnérabilité

Si vous pensez avoir découvert un problème de sécurité affectant le Service, veuillez le signaler via le canal de contact indiqué dans la Politique de confidentialité. Merci de nous laisser une possibilité raisonnable de traiter le problème avant toute divulgation publique.

Conditions · Confidentialité · Cookies · Contact
DPA · Sous-traitants · Sécurité · RGPD · Traitement des données · Droits d'auteur

© 2026 [YOUR CYPRUS LTD LEGAL NAME]

English Русский Deutsch Français Español Português (BR)