Sécurité

Sécurité & confidentialité

ZCompany manipule des données RH sensibles. Voici les mesures structurantes prévues et déjà câblées dans le produit.

Hébergement européen

Les données opérationnelles sont hébergées sur Google Cloud Platform dans l'Union européenne, avec une architecture prévue pour évoluer vers plusieurs régions si un pays l'exige.

Chiffrement

Les flux, les secrets et les données sensibles sont traités avec des contrôles techniques dédiés.

  • TLS 1.2+ obligatoire pour les échanges réseau.
  • Chiffrement au repos sur la base de données et le stockage objet.
  • Mots de passe stockés hachés avec bcrypt.
  • Jetons de session signés, rotation et révocation stricte.

Données médicales

Les certificats et justificatifs sensibles sont traités comme données à risque élevé.

  • Accès limité aux rôles RH explicitement autorisés.
  • Audit log dédié pour les consultations et téléchargements.
  • Durées de conservation contrôlées selon les obligations applicables.

Isolation des clients

Chaque entreprise est isolée par identifiant de tenant, avec des tests automatisés anti-fuite sur les modules critiques.

Localisation au pointage

La localisation est optionnelle et limitée au moment du pointage. Aucun suivi continu ni trajet n'est enregistré.

Authentification et accès

Les accès sont protégés par cookies sécurisés, rôles, permissions et contrôles de session.

  • Rate limiting sur les endpoints sensibles.
  • En-têtes de sécurité HTTP standard.
  • Sessions courtes avec refresh contrôlé.
  • MFA obligatoire pour les super-admins et extensible aux rôles sensibles.

Sauvegardes et reprise

La stratégie de reprise vise à limiter la perte de données et le temps d'indisponibilité.

  • Sauvegardes quotidiennes de la base de données.
  • Point-in-time recovery activé sur la fenêtre disponible.
  • Tests de restauration à documenter régulièrement.
  • Objectifs opérationnels : RTO 4h, RPO 1h.

Conformité RGPD

ZCompany agit comme sous-traitant pour les clients et prépare les workflows nécessaires aux droits des personnes.

  • Export complet des données sur demande autorisée.
  • Rectification via les fiches RH et workflows internes.
  • Anonymisation ou suppression selon les obligations légales.
Dernière mise à jour : 05/05/2026. Les documents légaux finaux seront publiés avant l'ouverture commerciale complète.