La sécurité, sans bullshit.

01Chiffrement

Toutes les communications entre ton navigateur et nos serveurs passent en HTTPS / TLS 1.2+. Les certificats sont gérés automatiquement par Vercel (Let's Encrypt) et renouvelés tous les 90 jours.

Côté base de données, Supabase chiffre les connexions en TLS et les données au repos avec AES-256 (Postgres + stockage). Aucune donnée client ne transite ni ne dort en clair.

• HTTPS strict via HSTS preload (max-age 2 ans, includeSubDomains).
• TLS sur toutes les connexions Postgres (sslmode=require).
• Chiffrement au repos AES-256 sur les volumes Supabase.
• Secrets applicatifs scellés dans Vercel Environment Variables.

02Authentification

L'authentification est gérée par Supabase Auth, qui gère le hashing des mots de passe (bcrypt), la rotation des sessions JWT, et les flux OTP par email.

• Mots de passe minimum 8 caractères, hashing bcrypt (jamais stockés en clair).
• Sessions JWT signées, rotation automatique, expiration courte.
• OTP par email pour les flux sensibles (création de compte, reset mot de passe).
• Row-Level Security (RLS) Postgres activée sur toutes les tables — un coach ne peut jamais voir les données d'un autre.
• Aucun cookie tiers, aucun tracker comportemental.

03Conformité & RGPD

RB Perform est 100% RGPD-ready. Toutes les données — coachs et clients — sont stockées en Union Européenne (Supabase Frankfurt, eu-central-1). Aucun transfert hors UE, aucun fournisseur US d'analyse comportementale.

• Hébergement et traitement des données en UE (Frankfurt, Allemagne).
• Droit d'accès, rectification, portabilité et suppression sur simple demande email.
• Registre des traitements maintenu (Art. 30 RGPD).
• DPA disponible sur demande pour les clients enterprise.
• Suppression de compte → purge complète des données associées sous 30 jours.

04Infrastructure

Stack volontairement simple, opérée par deux hébergeurs reconnus. Pas de serveurs maison, pas de boîtes noires, pas de single-points-of-failure obscurs.

• Vercel — front, edge, fonctions serverless. SOC 2 Type 2, ISO 27001.
• Supabase (EU Frankfurt) — Postgres managé, Auth, Storage. SOC 2 Type 2, hébergement AWS eu-central-1.
• Stripe — paiements. PCI-DSS Level 1. Aucun numéro de carte ne touche nos serveurs.
• Monitoring uptime + erreurs 24/7. Page de statut publique.

05Divulgation responsable

Tu as découvert une vulnérabilité ? Préviens-nous avant de la publier. On répond en moins de 24h, on patche vite, et on créditera ton nom (si tu veux) une fois le correctif déployé.

• Email dédié : rb.performancee@gmail.com — sujet [SECURITY].
• Réponse initiale < 24h ouvrées, patch sous 7 jours pour les criticals.
• Pas de scan automatisé agressif sans accord préalable (ça pollue nos logs et fait perdre du temps).
• Hall of fame public pour les chercheurs qui le souhaitent.

06Réponse aux incidents

En cas d'incident affectant la disponibilité ou la sécurité des données, la communication est publique et rapide. La page statut est mise à jour en temps réel et les utilisateurs concernés sont notifiés par email sous 72h maximum (RGPD Art. 33).

• Page statut publique avec checks en temps réel toutes les 30 secondes.
• Notification email aux comptes concernés sous 72h en cas de breach (RGPD Art. 33).
• Post-mortem public publié pour les incidents majeurs.

07Sauvegardes & restauration

La base Postgres est sauvegardée automatiquement par Supabase, avec point-in-time recovery (PITR). En cas de corruption ou de suppression accidentelle, on peut revenir à n'importe quel instant des 7 derniers jours.

• Snapshots Postgres quotidiens (rétention 7 jours, plan Pro Supabase).
• Point-in-time recovery (PITR) granularité 2 minutes.
• Backups manuels avant chaque migration de schéma majeure.
• Tests de restauration trimestriels.

08Headers de sécurité

Tous les headers de sécurité standards sont configurés au niveau edge (Vercel). Voici exactement ce que ton navigateur reçoit :

Tu peux les vérifier en live avec curl -I https://rbperform.app ou via securityheaders.com.