Sécurité et conformité
Audité, chiffré et visible uniquement par vous.
Indépendamment audité, hébergé dans l'UE et chiffré de bout en bout. Vos factures et données bancaires restent privées, même pour nous.
Défense en profondeur
La sécurité intégrée à chaque niveau.
Vos données ne quittent jamais l'UE
Toutes vos factures, transactions bancaires et documents sont stockés à Francfort, en Allemagne. Rien n'est acheminé ou stocké aux États-Unis ou en dehors de l'Union européenne. Cela s'applique à tout: vos fichiers, vos enregistrements de base de données et vos sauvegardes.
Nous ne pouvons pas voir vos documents
Les employés d'Invoflux n'ont aucun accès à vos factures, données bancaires ou documents financiers. Vos données sont isolées au niveau de la base de données, ce qui signifie que même en cas de bug, les données d'une entreprise ne pourraient jamais fuiter vers une autre. Ce n'est pas une politique, c'est la conception même du système.
Conformité totale au RGPD
Nous agissons en tant que sous-traitant de données selon le RGPD. Vous pouvez exporter toutes vos données ou supprimer définitivement votre compte à tout moment, directement depuis vos paramètres. Nous traitons les données uniquement selon vos instructions et ne les partageons jamais.
Tout est chiffré
Vos documents sont chiffrés lors de leur transfert vers et depuis nos serveurs (TLS 1.3) et chiffrés à nouveau lors du stockage (AES-256-GCM, le standard utilisé par les banques). Vos identifiants de comptes connectés sont chiffrés séparément avec leurs propres clés et ne sont jamais stockés en texte clair.
Nous ne demandons que le nécessaire
Lorsque vous connectez Gmail ou votre banque, nous demandons le minimum de permissions requis. L'accès à Gmail est en lecture seule et limité à la recherche d'e-mails de factures. L'accès bancaire est limité aux données de transaction en lecture seule. Nous n'envoyons jamais d'e-mails en votre nom, ne modifions rien et n'accédons jamais à plus que nécessaire.
Chaque action est enregistrée
Chaque connexion, accès à un fichier, exportation de données et événement d'intégration est enregistré avec horodatage et détails. Chaque entreprise possède sa propre piste d'audit. Les informations sensibles comme les adresses e-mail et les IBAN sont automatiquement supprimées des journaux pour éviter toute exposition.
Chaque entreprise est totalement isolée
Si vous gérez plusieurs entreprises ou si votre comptable travaille avec plusieurs clients, chaque espace de travail est séparé au niveau de la base de données via Row-Level Security. Il est impossible d'accéder accidentellement (ou intentionnellement) aux données d'une autre entreprise, même depuis l'application.
Vérifié par Google
Invoflux a réussi l'évaluation de sécurité CASA Tier 2 de Google, la certification la plus élevée pour les applications accédant à Gmail et Drive. Cela inclut un audit de sécurité tiers et confirme que nous ne demandons que des permissions minimales. La certification est réévaluée annuellement.
Protégé contre les attaques
Les points de terminaison de connexion et d'authentification sont protégés par une limitation de débit pour prévenir les tentatives de force brute. Les données sensibles comme les jetons de session sont stockées côté serveur dans des cookies sécurisés et jamais exposées à votre navigateur. Nous effectuons des scans de sécurité réguliers pour détecter les vulnérabilités.
Questions
Questions fréquentes
Quels services tiers accèdent à mes données?
Nous utilisons Supabase (base de données et stockage de fichiers hébergés dans l'UE), Salt Edge (connexions bancaires en lecture seule, basées dans l'UE) et OpenAI (uniquement pour l'extraction de données de factures, sans rétention de données de leur côté). Tous les services sont contractuellement liés aux normes de traitement des données de l'UE.
Que deviennent mes données si je résilie?
Vous pouvez d'abord tout exporter, puis supprimer votre compte. La suppression est permanente et efface tous vos documents, enregistrements de transactions et informations personnelles de nos systèmes.
Vendez-vous ou partagez-vous mes données?
Non. Jamais. Vos données financières vous appartiennent. Nous ne les monétisons pas, ne les partageons pas avec des annonceurs et ne les utilisons pour rien d'autre que le fonctionnement du service auquel vous avez souscrit.
Traitement des données
Comment nous traitons vos données
- Stockées dans l'UE, avec option de miroir vers votre cloud: vos factures résident dans un stockage chiffré dans l'UE. Vous pouvez également les copier vers votre propre Google Drive, OneDrive, Dropbox ou Box, où Invoflux n'interagit qu'avec les dossiers qu'il crée.
- Données structurées, entièrement consultables: le fournisseur, le numéro de facture, la date, les totaux et le statut de rapprochement sont extraits afin que tout soit consultable et réconcilié.
- Aucun entraînement d'IA: les données des utilisateurs ne sont jamais utilisées pour entraîner des modèles publics.
- Sous-traitants transparents : tous conformes à l'UE.
- Contrôle total de la rétention : supprimez vos données à tout moment.
Open banking
Conformité Open Banking et PSD2
Fonctionnement des connexions bancaires
- Vous vous authentifiez directement auprès de votre banque.
- Vos identifiants ne sont jamais partagés avec Invoflux.
- L'accès est strictement en lecture seule et conforme à la PSD2.
- Seules les données de transaction nécessaires sont récupérées.
Accès réglementé aux données bancaires
Couverture de licence PSD2
L'accès bancaire est fourni par un prestataire entièrement réglementé et conforme à la PSD2.
eIDAS et authentification forte du client
Toutes les connexions utilisent des certificats qualifiés et suivent les règles SCA de la PSD2.
Données financières en lecture seule
Aucun paiement ne peut être initié, les identifiants ne sont jamais stockés ni consultés.
Pourquoi est-ce important
- Aucune exposition des identifiants
- Accès entièrement réglementé aux normes de l'UE
- Lecture seule, sécurisée et conforme
- L'utilisateur conserve un contrôle total
Vos droits
Conformité RGPD
Vos droits
- Accéder à vos données
- Portabilité des données
- Effacement
- Restriction ou opposition
- Pas de décision automatisée sans consentement
Accord de traitement des données
Disponible sur demande à [email protected].
Renforcement
En-têtes de sécurité
Invoflux met en œuvre des en-têtes de sécurité complets pour protéger contre les vulnérabilités web courantes :
- Strict-Transport-Security: Force les connexions HTTPS
- X-Frame-Options: Empêche les attaques par clickjacking
- X-Content-Type-Options: Empêche le reniflage de type MIME
- Content-Security-Policy: Atténue les attaques XSS
- Permissions-Policy: Contrôle l'accès aux fonctionnalités du navigateur
- Referrer-Policy: Contrôle les informations partagées lors de la navigation entre les pages
Une sécurité que vous pouvez vérifier.
Commencez gratuitement et découvrez comment Invoflux protège vos données dès le premier jour.
Commencer gratuitementContactez-nous
Contact
Pour toute question relative à la sécurité ou à la conformité :