Déclaration de Sécurité
AENVO (Portugal)
Dernière mise à jour : 12/12/2025
1 Objectif et portée
Cette Déclaration décrit les contrôles de sécurité de Aenvo Natural Interaction Lda., applicables au site web, aux applications, aux API et aux modèles d'IA ("Services"). L'objectif est de protéger la confidentialité, l'intégrité et la disponibilité des données et des systèmes, conformément au RGPD et aux bonnes pratiques du secteur.
2 Principes de sécurité
Nous adoptons une approche de défense en profondeur, guidée par les principes de protection de la vie privée dès la conception (Privacy by Design), de sécurité dès la conception (Security by Design), de minimisation des données, du principe de moindre privilège et de stricte séparation des environnements (développement, test et production).
3 Gestion des accès et de l'identité
Nous mettons en œuvre le Contrôle d'Accès Basé sur les Rôles (RBAC) pour garantir que les employés et les systèmes n'ont accès qu'aux informations nécessaires. L'authentification multifacteur (MFA) est obligatoire pour tous les comptes administratifs. Nous effectuons une gestion rigoureuse des jetons et des clés, avec une révision périodique des permissions et une séparation des fonctions critiques.
4 Chiffrement
Toutes les données sont protégées par un chiffrement fort. En transit, nous utilisons TLS 1.2 ou supérieur. Au repos, les données sont chiffrées selon la norme AES-256. La gestion des clés comprend une rotation régulière et le stockage sécurisé des secrets dans des coffres numériques (vaults).
5 Sécurité du réseau
Notre infrastructure utilise la segmentation du réseau et des listes de contrôle d'accès rigoureuses. Nous déployons des pare-feu de nouvelle génération, des pare-feu d'application web (WAF) et une protection contre les attaques DDoS (DDoS mitigation). Le cas échéant pour les clients Enterprise, nous prenons en charge l'intégration avec des réseaux privés (VPC peering) et des règles de restriction IP.
6 Journalisation, audit et surveillance
Nous conservons des journaux détaillés de sécurité et d'application pour l'audit et le dépannage, avec une rétention opérationnelle typique allant jusqu'à 30 jours. Nous utilisons des systèmes de Détection d'Intrusion et SIEM pour l'analyse en temps réel. Des alertes automatisées et des playbooks de réponse sont déclenchés en cas d'anomalies.
7 Gestion des vulnérabilités et tests
Nous effectuons des analyses de vulnérabilité hebdomadaires et appliquons des correctifs et des patchs en continu. Des tests d'intrusion (Pentests) sont réalisés régulièrement par des tiers indépendants. Nous maintenons un programme de divulgation responsable des vulnérabilités.
8 Cycle de développement logiciel sécurisé (SSDLC)
La sécurité fait partie intégrante de notre cycle de développement. Nous effectuons des révisions d'architecture, de la modélisation des menaces (threat modeling), de l'assurance qualité sécurité et des revues de code par les pairs. Toutes les dépendances logicielles sont surveillées automatiquement, et nous maintenons une politique stricte de versions et de retour en arrière (rollback).
9 Sécurité spécifique à l'IA
Compte tenu de la nature de nos services d'IA Conversationnelle, nous mettons en œuvre des mesures supplémentaires :
- Ségrégation des Données : Isolation logique stricte entre les données de différents clients et les jeux de données d'entraînement.
- Contrôle de l'Entraînement : Options claires "opt-out/opt-in" pour l'utilisation des données dans le raffinement des modèles.
- Protection du Modèle : Atténuation contre l'"injection de prompt" et filtres de contenu pour empêcher les sorties toxiques ou non sécurisées.
- Anti-Spoofing Vocal : Mécanismes de détection de vivacité (liveness) pour prévenir la fraude dans l'authentification biométrique vocale.
- Sanitisation des Données (PII) : Capacité de caviarder ou masquer automatiquement les données sensibles avant le traitement par les LLM.
- Surveillance : Suivi continu de la dérive ("drift") et de la qualité du modèle.
10 Gestion des incidents
Nous disposons d'un processus formel de réponse aux incidents avec une classification de sévérité et des temps cibles définis pour le confinement et la remédiation. Nous nous engageons à informer les clients et les autorités compétentes (CNPD) en cas de violation de données, comme l'exige la loi. Après chaque incident, nous effectuons des analyses post-mortem pour mettre en œuvre des actions correctives.
11 Continuité des activités et reprise après sinistre (BCP/DR)
Nous garantissons la résilience des services grâce à des sauvegardes chiffrées et des tests de restauration périodiques. Nous avons défini des objectifs de temps de récupération (RTO) et de point de récupération (RPO). Nous réalisons des exercices de scénarios de panne et utilisons la redondance géographique pour atténuer les interruptions.
12 Sous-traitants et infrastructure physique
Nous établissons des partenariats uniquement avec des fournisseurs d'infrastructure (tels que Google Cloud et AWS) qui maintiennent des certifications de sécurité de premier plan (par ex., SOC 2, ISO 27001) et garantissent une sécurité physique rigoureuse des centres de données. Tous les sous-traitants ultérieurs sont soumis à des Accords de Traitement de Données (DPA) et à des évaluations de risques.
13 Formation et sensibilisation
Tous les employés d'AENVO suivent une formation annuelle obligatoire sur la sécurité et la confidentialité. Nous menons des simulations de phishing et maintenons des politiques internes d'utilisation acceptable pour garantir une culture de sécurité proactive.
14 Contact de sécurité
Pour signaler des vulnérabilités, des incidents ou des questions de sécurité, veuillez contacter security@aenvo.ai. Pour toute question relative à la confidentialité des données, utilisez privacy@aenvo.ai.