Souveraineté
100 % de vos données métier hébergées en France, chez OVH Cloud, dans des datacenters européens. Aucun transfert hors UE.
Sécurité
La sécurité de vos données, sans baratin
Vos données métier, voyages, cargaisons, équipages, sont sensibles. Voici concrètement ce que nous mettons en place pour les protéger, à la fois techniquement et organisationnellement.
Les 4 piliers
Notre approche en quatre couches
Chiffrement
TLS 1.3 partout (transit), chiffrement au repos sur les disques, mots de passe avec argon2id (algorithme moderne résistant aux attaques).
Contrôle d'accès
Multi-tenant strict, Row Level Security PostgreSQL, 4 rôles distincts, 2FA optionnelle, journal d'audit consultable par l'armateur.
Continuité
Sauvegardes chiffrées toutes les heures, replicas chauds sur 2 datacenters, plan de reprise testé, RTO < 4 h et RPO < 1 h.
Hébergement
OVH Cloud · datacenters français
Tous les services et toutes les données métier de nos clients sont hébergés chez OVH Cloud, opérateur français certifié ISO 27001 et SecNumCloud (référentiel ANSSI).
Vos données sont réparties entre les datacenters de Gravelines (Hauts-de-France), Roubaix (Hauts-de-France) et Strasbourg (Grand Est), avec réplication active-active entre deux régions. Aucune donnée métier ne quitte la France.
Le site marketing fluviapro.fr ne contient que du contenu public statique : aucune donnée client n'y transite.
- Opérateur
- OVH Cloud (FR)
- Certifications
- ISO 27001, SecNumCloud
- Localisation données
- France · 100 %
- Datacenters
- Gravelines · Roubaix · Strasbourg
Chiffrement
Vos données chiffrées, partout, tout le temps
En transit
TLS 1.3 entre votre navigateur (ou tablette batelier) et nos serveurs. HSTS activé. Certificats Let's Encrypt renouvelés automatiquement.
Au repos
Disques chiffrés au niveau bloc (LUKS) sur tous les serveurs. PostgreSQL Transparent Data Encryption activé sur la base de production.
Mots de passe
Hashing argon2id (lauréat du Password Hashing Competition 2015). Paramètres modernes : mémoire 64 Mo, 3 itérations, parallélisme 4.
Secrets
Gérés par Infisical auto-hébergé. Aucun secret en clair dans le code, les logs ou les sauvegardes. Rotation des clés tous les 90 jours.
Contrôle d'accès
Multi-tenant strict, 4 rôles, audit complet
Chaque organisation client (armateur) est isolée par un identifiant `organization_id` présent sur toutes les tables métier. Le filtrage est appliqué deux fois : par le code applicatif ET par Row Level Security PostgreSQL. Une fuite d'une organisation à une autre est techniquement impossible.
Quatre rôles distincts avec permissions granulaires : armateur (administration complète de son organisation), batelier (saisie embarquée + lecture de ses voyages), comptable (factures, exports, lecture seule sur le reste), client (portail chargeur en lecture seule sur ses cargaisons).
L'authentification utilise JWT à courte durée de vie (15 minutes) avec refresh tokens (30 jours, révocables). 2FA TOTP optionnelle (recommandée pour les armateurs). Chaque connexion, chaque action sensible (export, suppression, modification de droits) est enregistrée dans un journal d'audit que l'armateur peut consulter.
Sauvegardes & continuité
Aucune donnée ne se perd, jamais
Sauvegardes
PostgreSQL Point-in-Time Recovery : restauration possible à n'importe quelle seconde sur les 30 derniers jours. Snapshots quotidiens chiffrés conservés 12 mois.
Réplication
Replica synchrone dans un second datacenter (Roubaix ⇄ Strasbourg). Bascule manuelle < 1 h en cas d'incident majeur sur la région primaire.
Stockage fichiers
OVH Object Storage avec réplication géographique. Vignettes, certificats et exports PDF dupliqués sur 2 régions françaises.
Plan de reprise
Procédure testée tous les semestres. Objectifs contractuels : RTO (Recovery Time Objective) < 4 h, RPO (Recovery Point Objective) < 1 h.
Conformité
RGPD et au-delà
- RGPD : conformité complète, registre des traitements à jour, contrats de sous-traitance signés avec tous les sous-traitants techniques.
- Hébergeur certifié ISO 27001 et SecNumCloud (référentiel ANSSI pour les services cloud sensibles).
- Audit de sécurité externe annuel par un cabinet indépendant (pentest applicatif + revue infrastructure).
- Audit de dépendances logicielles hebdomadaire (Snyk + Dependabot). Mise à jour des correctifs critiques sous 48 h.
- Politique de gestion des incidents : qualification sous 4 h, notification clients sous 24 h, post-mortem public sous 7 jours.
Divulgation responsable
Vous avez trouvé une faille ?
Si vous découvrez une vulnérabilité de sécurité dans FluviaPro, nous vous remercions de nous la signaler de manière responsable à security@fluviapro.fr. Nous accusons réception sous 24 h, qualifions sous 72 h, et corrigeons les failles critiques sous 7 jours maximum. Nous reconnaissons publiquement les contributions (avec votre accord) et travaillons à mettre en place un programme de bug bounty.
security@fluviapro.frDes questions sur notre sécurité ?
Notre équipe technique répond à toutes les questions sécurité (questionnaires DSI, audits internes, due diligence).