LIVE
alertes
Qoovert
$ qoovert@trust ~ cat trust-center.md
Chargement du statut… status page →

La sécurité d'une banque.
La transparence d'un open-source.

Qoovert traite vos factures — parfois les plus sensibles de votre entreprise. Voici, sans euphémismes marketing, comment elles sont protégées, où elles vivent, et ce qu'on ferait si quelqu'un trouvait une faille.

Hébergement
France 🇫🇷
Hetzner · Falkenstein UE
Chiffrement
TLS 1.3 + AES-256
transit + repos
Uptime 24h
mesuré en continu
RGPD
Par construction
DPA disponible
§ 01 / INFRASTRUCTURE

Où vivent vos données.

Vos factures ne quittent jamais l'Union européenne. Aucune sous-traitance hors UE, aucun transfert aux États-Unis, aucun CDN cloud américain.

STACK TECHNIQUE
Hetzner Germany,
orchestré par Coolify.

Infrastructure physique chez Hetzner (Falkenstein, UE). Orchestration Coolify auto-hébergée — zéro dépendance SaaS tiers hors UE. Proxy TLS Traefik, certificats Let's Encrypt renouvelés toutes les 60 jours.

qoovert-api · production · /etc/hosts
01# Proxy TLS 1.3 + HSTS + OCSP stapling
02traefik*.qoovert.com → 443
03api → FastAPI / Python 3.12 (stateless)
04db → PostgreSQL 16 · TLS + rôle dédié
05storage → Hetzner Storage Box · SSH + pubkey
06monitor → Sentry EU · traces sans PII
07# Zéro service hors UE
TLS 1.3 only, HSTS preload
Headers sécurité (CSP, Referrer, Frame)
Rate-limit slowapi par IP et token
Backup nocturne chiffré + rotation 30j
RÉGION · EU-CENTRAL-1 Voir le statut en direct
CHIFFREMENT
En transit.
Et au repos.
TLS 1.3
Toute requête API et site web. Certificats ECDSA P-256.
AES-256 Fernet
Jetons OAuth Pennylane et credentials sensibles — clé dérivée.
bcrypt cost 12
Mots de passe jamais stockés en clair. Rehash automatique si coût obsolète.
SHA-256 pour hashs sensibles
IBAN et SIREN partagés sur le réseau anti-fraude ne sont jamais transmis en clair.
SAUVEGARDES
Chiffrées, testées,
restaurables.

Backup quotidien 03h00 UTC vers Hetzner Storage Box. 30 jours de rétention, script testé en restore mensuel.

LAST BACKUP · 03:14 CET · VERIFIED
§ 02 / RGPD

Vos données sont à vous.

Minimisation réelle, pas déclarative. Aucun tracker tiers, aucun pixel marketing. Suppression de compte effective sous 48h, sans exception.

MINIMISATION
Ce qu'on
stocke.
email stocké (bcrypt pour pwd)
facture PDF brute jamais stockée
montants exacts non stockés en clair
fournisseur / n° facture pseudonymes + HMAC
date facture mois seulement
nom fichier original remplacé
tranche montant bucket + HMAC
IBAN fournisseur hashé SHA-256 seulement
IP client non stockée par défaut
analytics tiers aucun (Plausible self-host)
cookie tiers zéro

Les montants HT/TVA/TTC sont utilisés en mémoire pendant le scoring, puis remplacés au stockage par une tranche de montant et une empreinte HMAC pour le dédoublonnage. Les montants exacts ne sont conservés qu'en option chiffrée, sur demande contractuelle explicite. Les noms fournisseurs, numéros de facture et fichiers originaux sont pseudonymisés; les valeurs exactes d'audit, lorsqu'elles sont requises, sont chiffrées avec une clé dérivée par cabinet et versionnée.

VOS DROITS RGPD
Effectifs, pas théoriques.

Les 6 droits du RGPD sont implémentés côté produit — pas juste mentionnés dans une CGU. Aucun ticket à ouvrir, aucune pièce justificative à envoyer.

Accès + portabilité
Export CSV/XLSX de toutes vos analyses en 1 clic depuis /history.
Effacement
Bouton « Supprimer mon compte » dans /account. Purge en base sous 48h.
Rectification
Éditable directement dans /account — email, mot de passe, préférences.
Opposition
Désactivation du modèle ML personnel depuis /account. Modèle global reste anonyme.
Limitation
Sur demande contact@qoovert.com — gel sous 72h, sans clôture du compte.
DPA sur demande
Contrat de sous-traitance RGPD pré-signé. Écrivez à contact@qoovert.com.
DPO · dpo@qoovert.com Politique de confidentialité
§ 03 / CONFORMITÉ

Ce qu'on peut prouver.
Ce qu'on ne peut pas encore.

On documente honnêtement ce qui est en place et ce qui est en cours. Ni badge « SOC 2 compliant » fake, ni promesses molles.

ACTIF · OPÉRATIONNEL
LIVE
RGPD (UE 2016/679)
DPA disponible, registre des traitements tenu à jour, DPO nommé.
Factur-X / UBL / CII
Parsing conforme EN 16931, validation XML stricte (Akretion factur-x).
Article 242 nonies A CGI
Vérification automatique des 20 mentions obligatoires françaises.
INSEE Sirene V3.11
Source officielle SIREN/SIRET — statut actif/radié en temps réel.
VIES (Commission européenne)
Validation des numéros de TVA intra-UE via l'API officielle.
EN COURS · ROADMAP 2026
IN-PROGRESS
ISO 27001 — préparation
Politiques de sécurité rédigées, audit externe envisagé fin 2026 quand le volume clients le justifiera.
SOC 2 Type II
Dépendra de la demande du marché Enterprise. Contrôles techniques déjà en place.
Pentest externe annuel
Premier audit prévu Q3 2026 (cabinet français agréé ANSSI).
HDS · non applicable
Qoovert ne traite pas de données de santé. L'agrément HDS n'est pas requis.
PCI-DSS · non applicable
Aucun numéro de carte n'est stocké — Stripe gère entièrement le paiement.
§ 04 / DIVULGATION RESPONSABLE

Vous avez trouvé une faille ?
Dites-le-nous.

Pas de programme de bug bounty payant (encore), mais une vraie politique de divulgation responsable. On répond sous 48h ouvrées, on ne poursuit personne qui agit de bonne foi, et on crédite publiquement les chercheurs.

RFC 9116 · SECURITY.TXT
voir le fichier →
Le protocole standard
pour signaler une faille.
curl https://qoovert.com/.well-known/security.txt
01# Signaler une vulnérabilité à Qoovert
02Contact: mailto:security@qoovert.com
03Expires: 2027-01-01T00:00:00.000Z
04Preferred-Languages: fr, en
05Canonical: https://qoovert.com/.well-known/security.txt
06Policy: https://qoovert.com/trust#disclosure
07Acknowledgments: https://qoovert.com/trust#hall-of-fame
NOTRE ENGAGEMENT
Safe harbor.
  • Réponse humaine sous 48h ouvrées
  • Aucune poursuite judiciaire si agissement de bonne foi
  • Correctif en production sous 7j (critique) / 30j (moyen)
  • Hall of Fame avec votre pseudo / lien
CONTACT CHIFFRÉ
security@qoovert.com
PGP disponible sur demande
§ 05 / DOCUMENTS

Demandez la documentation complète.

DPA RGPD pré-signé, questionnaire sécurité pré-rempli, détail technique de l'infrastructure. Disponibles sur simple demande pour toute évaluation B2B.

Demander les documents Voir le statut en direct