Sécurité & Confidentialité

Toutes les données opérationnelles sont hébergées chez Google Cloud Platform, région europe-west1 (Saint-Ghislain, Belgique). Aucune donnée client n'est répliquée hors de l'Union européenne.

• TLS 1.2+ obligatoire pour tout échange réseau.
• Chiffrement AES-256 au repos sur la base de données (Cloud SQL) et le stockage objet (Cloud Storage).
• Mots de passe stockés hachés (bcrypt 12 rounds).
• Jetons de session signés et rotation périodique des clés.

Les certificats médicaux relèvent de la catégorie spéciale au sens du RGPD (Art. 9). ZCompany applique des mesures renforcées :

• Accès strictement limité aux rôles RH explicites du Client.
• Audit log dédié tracant chaque accès (consultation, téléchargement, vérification, clôture, export RGPD), conservé 10 ans.
• Conservation 5 ans après l'absence puis suppression chiffrée.

Chaque entreprise cliente est strictement isolée dans nos bases de données. Toutes les requêtes filtrent par identifiant de société. Nous testons cette isolation par des tests automatisés systématiques sur chaque module (les tests "anti-fuite tenant" représentent une part significative de notre suite).

La localisation est désactivée par défaut. Si une entreprise active cette option, ZCompany collecte uniquement la position au moment du clic Arrivée ou Départ. Aucun suivi continu ni trajet n'est enregistré.

• Rate limiting sur la page de connexion (5 tentatives par IP / 15 minutes).
• En-têtes HTTP de sécurité standard (HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, CSP).
• Sessions courtes (15 min) avec refresh automatique.
• MFA TOTP actif pour OWNER, HR admin, HR staff et super-admin, avec activation obligatoire au premier login sensible.

• Sauvegardes Cloud SQL quotidiennes (rétention 35 jours).
• Point-in-Time Recovery sur les 7 derniers jours.
• Tests de restauration mensuels documentés.
• Cible RTO 4 heures, RPO 1 heure.

ZCompany agit en tant que sous-traitant au sens de l'Art. 28 RGPD. Un Data Processing Agreement (DPA) est fourni à chaque client. Vos employés peuvent à tout moment :

• Demander l'export complet de leurs données (Art. 15+20) via l'application — RH peut générer un ZIP en un clic.
• Demander la rectification d'une donnée (Art. 16) via leur RH ou la fiche profil.
• Demander l'anonymisation après fin de contrat (Art. 17), sous réserve des obligations légales de conservation.

Pour toute question : privacy@zcompany.online (à remplacer par l'adresse définitive). Vulnérabilité de sécurité : merci de nous contacter avant publication (responsible disclosure).