Pas de buzzwords.
Juste les faits.
Hébergement UE, chiffrement, audit log, sauvegardes, gestion d'incidents. Pas de certification que nous n'avons pas. Documentation complète sur demande.
Quatre piliers techniques
Hébergement UE
Infrastructure VPS dédiée en France (Hostinger). Aucune donnée transférée hors UE pour le traitement primaire.
Chiffrement
TLS 1.3 en transit. Chiffrement at-rest sur la base de données et les sauvegardes.
Authentification
SSO Keycloak en option. MFA disponible pour les comptes admin. Mots de passe hashés (Argon2).
Audit log
Toutes les actions sensibles journalisées dans une table immuable. Disponible côté DRH.
Hébergement et architecture
Localisation primaire
VPS Hostinger en France. Datacenter conforme aux standards Tier III.
Base de données
Supabase Cloud, région UE Francfort. Backups quotidiens à J-7, J-14, J-30.
Pas de transfert hors UE
Le traitement des données candidats reste strictement en UE. Anthropic (synthèses IA) est invoqué via API pour des prompts ne contenant aucune donnée d'identification directe.
DNS, CDN, proxy
Cloudflare en façade (proxy + WAF). Nginx en reverse proxy avec rate-limit applicatif.
Chiffrement et secrets
En transit
TLS 1.3 obligatoire. HSTS activé. Pas de redirection silencieuse en HTTP.
At-rest
Disques chiffrés au niveau VPS. Base Supabase chiffrée par défaut (AES-256).
Mots de passe
Hashés avec Argon2id (paramètres OWASP recommandés).
Secrets applicatifs
Stockés dans variables d'environnement, jamais dans le code source. Rotation possible sans downtime.
Authentification et accès
SSO Keycloak
Option recommandée pour les organisations >50 utilisateurs. OIDC standard, fédération possible avec Azure AD, Google Workspace, Okta.
MFA
Multi-Facteur disponible pour tous les comptes, exigé par défaut sur les comptes owner et admin.
RBAC interne
5 rôles standard (owner, admin, manager, recruiter, viewer) avec permissions scopées par organisation.
Sessions
JWT signés, durée 7 jours, révocables individuellement. Déconnexion immédiate sur changement de mot de passe.
Sauvegardes et reprise d'activité
Fréquence
Backup quotidien automatique à 03h UTC (cohérence transactionnelle Postgres).
Rétention
J-7 quotidien, J-14, J-30 — couvre les principaux scénarios de ransomware ou de corruption logique.
RTO / RPO
RTO cible 4h, RPO 24h. Procédure de restauration testée trimestriellement.
Tests de restauration
Restauration partielle testée mensuellement sur environnement de pré-production.
Gestion des incidents de sécurité
Détection
Logs centralisés, alertes sur erreurs serveur, monitoring uptime, rate-limit applicatif.
Notification
En cas de violation impactant des données personnelles, notification CNIL dans les 72h conformément à l'Art. 33 RGPD. Notification client par email immédiate.
Post-mortem
Tout incident significatif fait l'objet d'un post-mortem partagé avec les organisations impactées (cause racine, mesures, échéancier).
Contact sécurité
security@prometheus-people.com (réponse < 24h ouvrées). Pour les chercheurs en sécurité : programme de divulgation responsable disponible.
Transparence :Prometheus n'a, à la date de publication de cette page, fait l'objet d'aucun incident de sécurité ayant entraîné une notification CNIL.
Liste des sous-traitants RGPD
Mise à jour à chaque ajout. Modifications notifiées par email aux clients sous DPA au moins 30 jours avant prise d'effet.
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Hostinger (VPS France) | Hébergement applicatif principal | France |
| Supabase Cloud | Base de données + auth Supabase | UE (Francfort) |
| Stripe | Traitement des paiements | UE / US (DPF) |
| Resend / Mailjet | Envoi des e-mails transactionnels | UE |
| Anthropic | Génération des synthèses IA des rapports | US (DPF + chiffrement) |
DPF = Data Privacy Framework UE-US (cadre adéquat post-Schrems II).
Ce que nous n'avons pas encore
La transparence prime sur le marketing :
- — Pas de certification ISO 27001 (en réflexion 2027 selon traction).
- — Pas de SOC 2 (cible US, hors scope mid-market FR à ce stade).
- — Pas de pentest tiers publié (planifié Q3 2026).
Si une certification spécifique conditionne votre achat, parlons-en — on peut prioriser un audit avec le bon partenaire.
Contact sécurité
security@prometheus-people.com — réponse sous 24h ouvrées.
Votre RSSI a
une checklist ?
Envoyez-nous votre questionnaire de sécurité. On répond ligne par ligne.