Ephia Logo
Ephia Docs
Démarrage
Référence API
SDKs
Guides
Guides essentielsSécuritéIndex

Sécurité

Mesures de sécurité et conformité de l’API Ephia Voice.

Chiffrement

En transit

  • TLS 1.3 : Pour toutes les connexions
  • Certificats SSL/TLS : Validés (Let’s Encrypt)
  • WebSocket sécurisé : WSS obligatoire

Au repos

  • AES-256 : Chiffrement des données stockées
  • HSM : Clés de chiffrement gérées par un Hardware Security Module
  • Rotation automatique : Des clés de chiffrement

Conformité RGPD

Droits des personnes

  • Droit d’accès : Export des données via dashboard
  • Droit de rectification : Modification via API ou dashboard
  • Droit à l’effacement : Suppression complète sur demande
  • Droit à la portabilité : Export en format standard (JSON)

Engagements

  • DPO : Délégué à la Protection des Données désigné
  • Registre des traitements : Tenu à jour
  • PIA : Analyse d’impact réalisée
  • Sous-traitants : Certifiés RGPD

Conformité HDS (Hébergeur de Données de Santé)

Certification

  • Certification HDS obtenue : [Date à compléter]
  • Hébergement en France : Zones géographiques spécifiées
  • Audit de sécurité annuel : Contrôles réguliers
  • Contrôles d’accès stricts : Authentification multi-facteurs

Infrastructure

  • Datacenters certifiés HDS : Liste disponible sur demande
  • Redondance : Sauvegarde quotidienne
  • PCA : Plan de continuité d’activité
  • PRA : Plan de reprise d’activité

Politique de rétention des données

  • Données audio : Supprimées après 30 jours (configurable)
  • Transcriptions : Conservées selon la durée contractuelle
  • Logs : Conservés 12 mois (conformité légale)
  • Suppression définitive : Processus certifié (écrasement sécurisé)

Zones géographiques de traitement

  • Données de santé : Traitement exclusivement en France
  • Datacenters : Région Europe (France)
  • Sous-traitants : Liste disponible sur demande
  • Transferts internationaux : Interdits pour les données de santé

Contrôles d’accès

  • MFA : Authentification multi-facteurs recommandée
  • Rôles et permissions : Granulaires
  • Audit trail : Complet (qui, quoi, quand)
  • Alertes de sécurité : Connexions suspectes

Bonnes pratiques de sécurité

Clés API

  • Ne jamais commiter les clés dans le code
  • Utiliser des variables d’environnement
  • Rotation régulière (tous les 90 jours recommandé)
  • Révocation immédiate en cas de compromission

Application

  • Générer les URLs WebSocket côté backend
  • Ne jamais exposer les clés API au frontend
  • Valider toutes les entrées utilisateur
  • Implémenter des rate limits côté client

Incident de sécurité

  • Procédure de signalement : security@ephia.ai
  • Délai de notification : 72h maximum (RGPD)
  • Communication transparente : Avec les clients affectés

Principes de sécurité

  • Minimisation des données : Collecte uniquement des données nécessaires
  • Chiffrement en transit : TLS pour toutes les communications
  • Chiffrement au repos : AES-256 pour les données stockées
  • Contrôles d’accès : Authentification et autorisation strictes
  • Audit et monitoring : Surveillance continue des accès
IndexIndex