Sécurité & Confiance
Chez Hasfy, la sécurité n'est pas une option : elle est intégrée à l'architecture du produit dès la conception. Cette page décrit les mesures techniques et organisationnelles que nous appliquons pour protéger vos données et celles de vos clients.
1. Propriété des données
Les données que vous hébergez sur Hasfy vous appartiennent intégralement. Hasfy agit en tant que sous-traitant au sens du RGPD : nous traitons vos données uniquement selon vos instructions et ne les exploitons jamais à des fins propres. Nous n'accédons jamais à vos données sans votre accord explicite. La seule exception concerne les demandes de support que vous initiez vous-même : dans ce cas, l'accès est limité au strict nécessaire, tracé dans nos journaux d'audit, et révoqué dès que la demande est traitée. Vous conservez à tout moment le droit de demander l'export complet de vos données ou leur suppression définitive. Ces demandes sont traitées dans un délai de 30 jours.
2. Isolation des données par tenant
L'architecture multi-tenant de Hasfy est conçue pour garantir une isolation stricte entre les comptes clients. Vos données ne sont jamais mélangées avec celles d'un autre client, y compris au niveau de la base de données.
2.1 Schémas PostgreSQL séparés
Chaque tenant dispose de son propre schéma PostgreSQL. Cette séparation logique garantit qu'une requête mal formulée ou un bug applicatif ne peut pas, par conception, atteindre les données d'un autre client. L'accès entre schémas est interdit au niveau des droits de base de données.
2.2 Row-Level Security (RLS)
En complément de l'isolation par schéma, la fonctionnalité Row-Level Security de PostgreSQL est activée sur l'ensemble des tables sensibles. Chaque requête est automatiquement filtrée pour ne retourner que les lignes appartenant au tenant authentifié, même en cas d'erreur dans la couche applicative. Ce double niveau de protection — séparation des schémas et RLS — constitue notre défense en profondeur contre tout risque de fuite inter-tenant.
3. Accès interne à la production
L'accès à l'environnement de production est strictement limité à un nombre restreint de membres de l'équipe Hasfy. Aucun accès n'est accordé sans justification documentée, et chaque connexion est enregistrée avec l'identité de la personne, l'horodatage et le motif de l'intervention. Les accès sont accordés selon le principe du moindre privilège : chaque intervenant ne dispose que des permissions strictement nécessaires à sa mission. Les accès temporaires sont révoqués automatiquement à l'issue de l'intervention. Aucun accès à vos données n'est effectué à des fins commerciales, d'analyse ou de développement. Les environnements de développement et de test utilisent exclusivement des données synthétiques.
4. Sous-traitants (subprocesseurs)
Hasfy fait appel à un nombre limité de sous-traitants pour l'hébergement et la fourniture du service. Chacun est sélectionné pour ses garanties en matière de sécurité et de conformité RGPD, et lié par un accord de traitement des données.
OVH — Infrastructure, Site & Application
L'ensemble de l'infrastructure Hasfy — site marketing, application et base de données — est hébergé chez OVH SAS, sur des serveurs situés en France. OVH est certifié ISO 27001 et HDS (Hébergeur de Données de Santé), et dispose d'une documentation de conformité RGPD disponible à l'adresse suivante : https://www.ovhcloud.com/fr/personal-data-protection/ Le choix d'OVH garantit la souveraineté des données : vos données ne quittent jamais le territoire français et ne sont pas soumises à des législations extraterritoriales telles que le Cloud Act américain.
5. Chiffrement des données
Les données sont protégées par chiffrement à la fois lors des échanges réseau et lorsqu'elles sont stockées sur l'infrastructure.
5.1 Données en transit
Toutes les communications entre votre navigateur ou client applicatif et nos serveurs sont chiffrées via le protocole TLS. Nous imposons un minimum de TLS 1.2 et privilégions TLS 1.3 par défaut. Les connexions non chiffrées (HTTP) sont automatiquement redirigées vers HTTPS. Les certificats TLS sont émis et renouvelés automatiquement.
5.2 Données au repos
Les données stockées sur les volumes OVH bénéficient du chiffrement disque au niveau de l'infrastructure. Les sauvegardes de base de données sont également chiffrées avant leur stockage.
6. Conformité RGPD
Hasfy s'engage à respecter le Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679). En tant que sous-traitant, nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles que vous nous confiez.
6.1 Accord de traitement des données (DPA)
Un Data Processing Agreement (DPA) conforme aux exigences de l'article 28 du RGPD est disponible pour tous les clients sur simple demande à l'adresse contact@hasfy.fr. Ce document formalise les obligations respectives de Hasfy en tant que sous-traitant et du client en tant que responsable de traitement.
6.2 Notification en cas de violation
En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, Hasfy s'engage à notifier le client responsable de traitement dans un délai maximum de 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD. La notification inclura la nature de la violation, les catégories de données affectées, le nombre approximatif de personnes concernées et les mesures prises ou envisagées.
6.3 Droit à la suppression
Vous pouvez à tout moment demander la suppression complète de votre compte et de l'ensemble des données associées en adressant une demande à contact@hasfy.fr. La suppression est effective dans un délai de 30 jours. Les données supprimées ne sont pas conservées dans des sauvegardes au-delà d'une durée de 30 jours supplémentaires.
7. Signalement de vulnérabilité
Si vous avez identifié une faille de sécurité, un comportement anormal ou tout autre problème susceptible de compromettre la sécurité de la plateforme ou des données, nous vous invitons à nous le signaler de manière responsable à l'adresse contact@hasfy.fr. Nous nous engageons à accuser réception de votre signalement dans un délai de 48 heures et à traiter tout rapport sérieux en priorité. Nous vous demandons de ne pas divulguer publiquement la vulnérabilité avant qu'elle ait été corrigée et que nous vous ayons informé de la résolution. La dernière mise à jour de cette page de sécurité date du 19/03/2025.