Sécurité
Dernière mise à jour : Avril 2026
La protection des données de nos clients est une priorité absolue chez OKTee. Cette page décrit les mesures techniques et organisationnelles mises en place pour garantir la confidentialité, l’intégrité et la disponibilité des données traitées sur notre plateforme.
1. Infrastructure et hébergement
OKTee est construit sur une infrastructure cloud dont les données clients restent intégralement en Europe.
- Interface, site vitrine + application : hébergée via Vercel, États-Unis, Virginie du Nord. L’interface ne stocke aucune donnée client, elle sert uniquement à afficher l’application. Ce transfert est encadré par les CCT intégrées au DPA Vercel. L’hébergement peut être basculé en Europe sur demande contractuelle.
- Base de données clients : Neon, PostgreSQL managé, hébergé en Union européenne, Allemagne, Francfort. Toutes les données clients, commandes, utilisateurs et données Amazon, sont stockées ici. Chiffrement AES-256 au repos, sauvegardes automatiques.
- Traitements automatiques : Railway, workers de synchronisation hébergés en Union européenne, Pays-Bas, Amsterdam. Workers stateless, ils lisent, traitent et transmettent les données sans les stocker localement. DPA signé le 28/04/2026, SOC 2 Type II.
- Orchestration : Inngest pour le déclenchement des tâches asynchrones. DPA signé, EU SCCs.
- Monitoring : Sentry pour la détection des erreurs applicatives, avec filtrage PII actif. Hébergé aux États-Unis, encadré par CCT.
Les données clients sont hébergées en Allemagne. Les traitements automatiques tournent aux Pays-Bas. Seule l’interface, ce que l’utilisateur voit dans son navigateur, passe par les États-Unis, sans données persistées.
Chacun de ces prestataires fait l’objet d’un accord de traitement des données, DPA, conforme au RGPD.
2. Chiffrement des données
| Niveau | Standard |
|---|---|
| Données en transit | TLS 1.2 minimum, TLS 1.3 recommandé, sur toutes les communications entre le client et la plateforme, et entre la plateforme et les API Amazon. |
| Données au repos | AES-256 pour les données stockées en base de données. |
| Sauvegardes | Chiffrées et stockées dans l’Union européenne. |
| Mots de passe | Hachage irréversible, bcrypt. OKTee ne stocke jamais de mots de passe en clair. |
3. Contrôle d’accès
- Double authentification, MFA : disponible sur tous les comptes OKTee. L’administrateur de chaque organisation cliente choisit de la rendre obligatoire ou optionnelle pour ses utilisateurs. Elle est obligatoire pour les accès internes OKTee, équipe technique et direction.
- Gestion des rôles, RBAC : accès limité selon le rôle de chaque utilisateur, administrateur, opérateur, lecture seule. Les droits sont accordés selon le principe du moindre privilège.
- Isolation multi-tenant : les données de chaque client sont logiquement isolées. Aucun accès croisé entre clients n’est possible.
- Accès interne : le personnel OKTee n’accède aux données d’un client que dans le cadre strict de ses fonctions, support technique ou maintenance, sur traçabilité complète.
- Sessions sécurisées : expiration automatique des sessions inactives, invalidation des tokens à la déconnexion.
4. Sécurité des connexions Amazon, SP-API
OKTee se connecte aux comptes Amazon Vendor Central et Seller Central de ses clients via les API officielles d’Amazon, SP-API uniquement.
- La connexion est initiée par le client via le flux OAuth 2.0 officiel Amazon. OKTee ne demande jamais directement les identifiants Amazon de ses clients.
- Les tokens d’accès Amazon sont chiffrés au repos et ne sont jamais exposés en dehors du service d’authentification interne.
- L’accès OKTee peut être révoqué à tout moment par le client directement depuis son interface Amazon, Vendor Central > Integrations API / Seller Central > Autorisations.
- Les permissions demandées sont strictement limitées aux rôles nécessaires au fonctionnement des modules activés par le client.
5. Sécurité réseau
- Pare-feu applicatif, WAF : protection contre les attaques de type injection, XSS, DDoS au niveau de l’infrastructure Vercel.
- HTTPS uniquement : toutes les communications sont forcées en HTTPS. Les redirections HTTP vers HTTPS sont systématiques.
- Headers de sécurité : Content Security Policy, CSP, X-Frame-Options, X-Content-Type-Options, Strict-Transport-Security, HSTS, actifs.
- Isolation des environnements : les environnements de production, staging et développement sont strictement séparés. Aucune donnée de production n’est utilisée en environnement de test.
6. Gestion des incidents de sécurité
OKTee dispose d’un plan de réponse aux incidents couvrant :
- La détection et l’évaluation de la gravité de l’incident
- La notification des clients concernés dans les 72 heures suivant la détection, conformément à l’article 33 du RGPD
- La notification de la CNIL si la violation est susceptible d’engendrer un risque pour les droits des personnes
- La remédiation et le rapport post-incident
- Les revues semestrielles du plan, tests et mise à jour
En cas de suspicion de violation de données impliquant vos informations Amazon ou OKTee, contactez immédiatement : privacy@oktee.io
7. Pratiques de développement sécurisé
- Revue de code : toute modification du code de production fait l’objet d’une revue avant déploiement.
- Gestion des dépendances : surveillance des vulnérabilités connues, CVE, dans les librairies tiers via des outils automatisés.
- Secrets et credentials : aucun identifiant, clé d’API ou mot de passe n’est stocké dans les dépôts de code. L’utilisation d’un gestionnaire de secrets est obligatoire.
- Tests de sécurité : audits de sécurité prévus régulièrement. Toute vulnérabilité critique est corrigée en priorité.
8. Politique de mots de passe et authentification
- Longueur minimum : 12 caractères
- Complexité requise : majuscules, minuscules, chiffres, caractères spéciaux
- Expiration : rotation annuelle des mots de passe imposée
- MFA obligatoire pour l’équipe interne OKTee, activable par l’administrateur de chaque organisation cliente pour ses utilisateurs
- Interdiction de partage des identifiants entre collaborateurs
9. Sous-traitants et transferts de données
OKTee s’assure que tous ses sous-traitants techniques respectent des standards de sécurité équivalents ou supérieurs. Les transferts de données hors Union européenne, Sentry et OpenAI, sont encadrés par les Clauses Contractuelles Types, CCT de la Commission Européenne, décision 2021/914.
Statut des DPA sous-traitants
| Sous-traitant | Région | DPA | Certification |
|---|---|---|---|
| Vercel | États-Unis, Virginie, interface uniquement | DPA intégré aux ToS + CCT | — |
| Neon | EU, Frankfurt | DPA intégré aux ToS | SOC 2 |
| Railway | EU, Amsterdam, eu-west-1 | Signé le 28/04/2026, EU SCCs M2&3 + UK Addendum | SOC 2 Type II |
| Inngest | EU / US | Signé, EU SCCs | — |
| Sentry | US | CCT 2021/914 | SOC 2 |
| OpenAI | US | CCT 2021/914 | SOC 2 |
| CIC | France | Régulation bancaire | — |
Consultez la liste complète de nos sous-traitants dans notre Politique de confidentialité. Voir page Politique de confidentialité.
10. Conformité
| Réglementation | Statut |
|---|---|
| RGPD, Règlement UE 2016/679 | Appliqué, DPA disponibles, registre des traitements maintenu |
| Data Act, Règlement UE 2023/2854 | Appliqué, portabilité et réversibilité prévues |
| Loi SREN, France, 2024 | Appliqué |
| Amazon SP-API Developer Agreement | Appliqué, utilisation strictement conforme aux politiques Amazon |
| LCEN, France | Appliqué |
Trust portal : l’état de nos certifications, DPA et sous-traitants est consultable en temps réel sur oktee.app/trust.
Security one-pager : un document de synthèse de nos mesures de sécurité est disponible sur demande à legal@oktee.io, questionnaires sécurité et due diligence grands comptes.
11. Signalement d’une vulnérabilité
Si vous découvrez une vulnérabilité de sécurité dans nos systèmes, merci de nous la signaler de manière responsable à : privacy@oktee.io
Nous nous engageons à accuser réception sous 72 heures et à traiter tout signalement avec diligence.
12. Contact Sécurité
dpa signé