Communication chiffrée
Tout le trafic entre ton navigateur et LinkVerse.Work passe par TLS 1.3 avec forward secrecy. Les versions non sécurisées sont désactivées au niveau du serveur.
TLS 1.3
Sécurité et confidentialité
Sécurité réelle, sans théâtre.
Nous avons construit LinkVerse.Work avec la conviction que la confiance ne se demande pas — elle se démontre. Voici exactement ce que nous faisons pour protéger tes données, et ce que nous ne faisons pas encore.
Nous ne te demandons pas de nous faire confiance. Nous te montrons comment la confiance se construit — couche par couche, décision par décision.
Six piliers qui soutiennent la plateforme
Chacun est implémenté et actif maintenant, aujourd'hui, en production.
Hashing des mots de passe
Tes mots de passe ne sont jamais stockés en clair. Nous utilisons bcrypt — algorithme standard de l'industrie, recommandé par l'OWASP — avec un sel aléatoire par utilisateur.
argon2idAuthentification à deux facteurs
Support TOTP via Google Authenticator, Authy ou 1Password. Compatible avec toute app suivant le standard RFC 6238.
RFC 6238Login social via OAuth
Intégration native avec Google, Microsoft, GitHub, Discord, Facebook et LinkedIn. Nous ne recevons jamais ton mot de passe — seulement le jeton autorisé.
OAuth 2.0Défense contre OWASP Top 10
Jetons CSRF sur tous les formulaires, échappement XSS automatique, requêtes paramétrées contre SQLi, headers de sécurité appropriés.
CSRF · XSS · SQLiDonnées dans PostgreSQL
Base de données PostgreSQL 16 avec chiffrement au repos, sauvegardes quotidiennes chiffrées et séparation des rôles pour limiter les accès.
PostgreSQL · BackupsComment tes données voyagent
Chaque connexion entre composants est chiffrée et authentifiée. Ta requête passe par ces couches :
Ton navigateur
TLS 1.3
Cloudflare Edge
WAF + DDoS
WAF · DDoS
App LinkVerse.Work
PHP-FPM · Nginx
Internal TLS
Base de données
PostgreSQL 16
Aucune donnée personnelle ne quitte l'Union Européenne. Tous les serveurs sont hébergés dans des datacentres certifiés ISO 27001 au sein de l'UE.
Ce que nous promettons — et tenons
Zéro tracking tiers
Pas de Google Analytics, pas de Facebook Pixel, rien de tout ça. Nous ne vendons pas tes données. Tu paies en argent, jamais en attention.
Tes données t'appartiennent
Droit d'accès, de rectification, de portabilité et d'effacement — toujours, en deux clics. Conforme RGPD dès le premier jour.
Effacement réel
Quand tu supprimes ton compte, c'est vraiment supprimé. Pas de "soft delete" éternel. Les données disparaissent des sauvegardes en 30 jours.
Hébergement dans l'UE
Serveurs dans des datacentres européens. Tes données ne traversent pas l'Atlantique et ne sont pas soumises au CLOUD Act américain.
Ce que nous n'avons pas encore — et qu'on admet
Nous visons une qualité production, pas à paraître plus que nous sommes. Voici ce que nous ne pouvons pas encore promettre :
- Certification SOC 2 ou ISO 27001 (l'audit n'est pas encore passé — c'est dans la roadmap).
- SLA contractuel de 99,9% (nous n'avons pas encore assez d'historique opérationnel pour le garantir).
- SSO entreprise (SAML, SCIM) — disponible pour clients Enterprise quand ce tier ouvrira.
Quand cela changera, on mettra cette page à jour. Pas avant.
Tu as trouvé une vulnérabilité ?
Merci à qui nous aide à nous améliorer. Nous traitons chaque rapport avec sérieux et répondons en moins de 48 heures.
01
Signale en privé
Envoie un email à [email protected] avec une description technique, les étapes pour reproduire et l'impact estimé. Ne publie pas avant le correctif.
02
Confirmation sous 48h
Tu reçois un accusé de réception avec une fenêtre de correction estimée. Pour les vulnérabilités graves, on agit en heures.
03
Divulgation coordonnée
Une fois corrigé, tu peux publier ta découverte. On donne un crédit public si tu le souhaites — toujours avec ton accord.
[email protected]
PGP disponible sur demande
Confiance construite dans le code.
Crée ton compte. Vérifie les contrôles de confidentialité. Décide par toi-même.