Trust & Security

La sécurité, sans bullshit.

RB Perform héberge le business de coachs premium et les données santé de leurs clients. Voici exactement comment on protège tout ça — sans abréviations marketing, sans certifications de complaisance. Ce que tu lis ici est ce qu'on opère réellement en production.

01Chiffrement

Toutes les communications entre ton navigateur et nos serveurs passent en HTTPS / TLS 1.2+. Les certificats sont gérés automatiquement par Vercel (Let's Encrypt) et renouvelés tous les 90 jours.

Côté base de données, Supabase chiffre les connexions en TLS et les données au repos avec AES-256 (Postgres + stockage). Aucune donnée client ne transite ni ne dort en clair.

HTTPS strict via HSTS preload (max-age 2 ans, includeSubDomains).
TLS sur toutes les connexions Postgres (sslmode=require).
Chiffrement au repos AES-256 sur les volumes Supabase.
Secrets applicatifs scellés dans Vercel Environment Variables.

02Authentification

L'authentification est gérée par Supabase Auth, qui gère le hashing des mots de passe (bcrypt), la rotation des sessions JWT, et les flux OTP par email.

Mots de passe minimum 6 caractères (Supabase default), hashing bcrypt (jamais stockés en clair).
Sessions JWT signées, rotation automatique, expiration courte.
OTP par email pour les flux sensibles (création de compte, reset mot de passe).
Row-Level Security (RLS) Postgres activée sur les tables sensibles — un coach ne peut pas voir les données d'un autre.
Pas de cookies tiers. Vercel Analytics chargé uniquement avec consentement explicite (bandeau RGPD).

03Conformité & RGPD

RB Perform applique les principes RGPD : minimisation des données, hébergement en Union Européenne (Supabase Frankfurt, eu-central-1), droits utilisateurs activables sur simple demande email. Aucun transfert hors UE pour les données structurées coachs/clients.

Hébergement et traitement des données structurées en UE (Frankfurt, Allemagne).
Droit d'accès, rectification, portabilité, suppression sur demande à rb.performancee@gmail.com (réponse sous 30 jours).
DPA Supabase + DPA Vercel applicables. Communicables sur demande.
Registre des traitements (Art. 30 RGPD) en cours de constitution — disponible sur demande clients enterprise.
Suppression de compte → purge des données sous 30 jours après confirmation.

Demander le DPA Mentions RGPD

04Infrastructure

Stack volontairement simple, opérée par deux hébergeurs reconnus. Pas de serveurs maison, pas de boîtes noires, pas de single-points-of-failure obscurs.

Vercel — front, edge, fonctions serverless. SOC 2 Type 2, ISO 27001.
Supabase (EU Frankfurt) — Postgres managé, Auth, Storage. SOC 2 Type 2, hébergement AWS eu-central-1.
Stripe — paiements. PCI-DSS Level 1. Aucun numéro de carte ne touche nos serveurs.
Monitoring erreurs auto via Sentry. Page de statut publique avec checks live à la demande.

Statut plateforme →

05Divulgation responsable

Tu as découvert une vulnérabilité ? Préviens-nous avant de la publier. On répond en moins de 24h, on patche vite, et on créditera ton nom (si tu veux) une fois le correctif déployé.

Email dédié : rb.performancee@gmail.com — sujet [SECURITY].
Réponse initiale < 24h ouvrées, patch sous 7 jours pour les criticals.
Pas de scan automatisé agressif sans accord préalable (ça pollue nos logs et fait perdre du temps).
Hall of fame public pour les chercheurs qui le souhaitent.

Signaler une vulnérabilité

06Réponse aux incidents

En cas d'incident affectant la disponibilité ou la sécurité des données, la communication est publique et rapide. La page statut est mise à jour, et les utilisateurs concernés sont notifiés par email selon l'obligation RGPD Art. 33 (sous 72h après constatation d'un breach).

Page statut publique avec checks live à la demande (refresh page).
Notification email aux comptes concernés sous 72h en cas de breach (RGPD Art. 33, obligation légale).
Post-mortem public engagé pour les incidents majeurs.

07Sauvegardes & restauration

La base Postgres est sauvegardée automatiquement par Supabase, avec point-in-time recovery (PITR). En cas de corruption ou de suppression accidentelle, on peut revenir à n'importe quel instant des 7 derniers jours.

Snapshots Postgres quotidiens (rétention selon plan Supabase).
Point-in-time recovery (PITR) disponible sur plans Supabase Pro+.
Backups manuels avant chaque migration de schéma majeure.
Procédure de restauration documentée.

08Headers de sécurité

Tous les headers de sécurité standards sont configurés au niveau edge (Vercel). Voici exactement ce que ton navigateur reçoit :

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' https://cdnjs.cloudflare.com https://www.youtube.com; ...

X-Content-Type-Options: nosniff

X-Frame-Options: SAMEORIGIN

Referrer-Policy: strict-origin-when-cross-origin

Permissions-Policy: camera=(self), microphone=(self), geolocation=(), payment=(self), interest-cohort=()

Cross-Origin-Opener-Policy: same-origin-allow-popups

X-DNS-Prefetch-Control: on

Tu peux les vérifier en live avec curl -I https://rbperform.app ou via securityheaders.com.

Une question, un doute ? Écris-moi directement à rb.performancee@gmail.com. Je réponds personnellement, sous 24h max.

Accueil · Statut · Mentions légales · RGPD