La sécurité chez ONTHEBIAS.

Chaque espace de travail est logiquement isolé. Les projets, l'état du canevas, les conversations avec OBIE, les ressources générées et les fichiers de marque téléversés sont limités à l'espace de travail qui les détient et appliqués au niveau de la base de données avec une sécurité au niveau des lignes, de sorte que les données d'un client ne sont jamais accessibles depuis la session d'un autre client. Les créations que vous réalisez ne sont jamais regroupées ni partagées entre comptes.

Tout le trafic vers et depuis la plateforme est chiffré en transit avec TLS 1.2 ou supérieur. Les données au repos - vos enregistrements de base de données, les ressources de marque téléversées et les fichiers générés dans le stockage objet - sont chiffrées avec AES-256. Les sauvegardes sont chiffrées selon la même norme.

Les comptes sont protégés par Supabase Auth. Les mots de passe sont hachés et salés ; nous ne les stockons jamais en clair et nous ne pouvons pas les voir. La confirmation par e-mail et la connexion par lien magique sont prises en charge, et les jetons de session ont une durée de vie courte et sont rafraîchis côté serveur.

Le SSO et le SAML sont disponibles avec les forfaits Enterprise, afin que votre équipe puisse se connecter via votre fournisseur d'identité existant et désactiver les utilisateurs de façon centralisée. Contactez-nous pour le configurer pour votre espace de travail.

Les espaces de travail utilisent un accès basé sur les rôles - propriétaire, administrateur, membre et lecteur - afin que vous décidiez qui peut modifier, qui peut inviter et qui peut seulement consulter. Au sein d'ONTHEBIAS, l'accès aux systèmes de production est limité aux personnes qui en ont besoin, accordé selon le principe du moindre privilège, et journalisé.

OBIE et notre pipeline de génération fonctionnent sur des API d'IA commerciales d'Anthropic et de Google. Nous utilisons leurs offres commerciales sans entraînement, ce qui signifie que vos requêtes, vos images téléversées et les résultats sont envoyés uniquement pour traiter la demande que vous avez faite sur le moment et ne sont pas utilisés pour entraîner leurs modèles. Le contenu de vos créations n'est jamais utilisé pour entraîner un quelconque modèle nous appartenant.

Nous conservons vos données tant que votre espace de travail est actif afin que la plateforme fonctionne comme vous l'attendez. Lorsque vous supprimez un projet, un canevas ou une ressource, il est retiré du système en direct, puis des sauvegardes selon la rotation normale des sauvegardes.

Vous pouvez exporter vos données à tout moment. Après la résiliation de votre compte, vous disposez de 30 jours pour les exporter, après quoi nous pourrons les supprimer définitivement.

Toute la facturation passe par Stripe, un processeur certifié PCI DSS niveau 1. Les détails de carte sont saisis directement avec Stripe et tokenisés - les numéros de carte complets ne touchent jamais nos serveurs et nous ne les stockons jamais.

Si vous pensez avoir trouvé un problème de sécurité, dites-le-nous. Écrivez à security@onthebias.co avec les détails et les étapes pour reproduire, et nous accuserons réception et traiterons le signalement. Nous vous demandons de nous laisser un délai raisonnable pour corriger un problème avant de le divulguer publiquement, et d'éviter d'accéder aux données d'autres utilisateurs ou de les modifier pendant vos tests.

Voir aussi /.well-known/security.txt

Nous faisons appel à un petit nombre de fournisseurs d'infrastructure et de services vérifiés pour faire fonctionner la plateforme. Chacun ne reçoit que les données nécessaires à sa tâche. Voir la liste complète des sous-traitants pour savoir ce que chacun gère et où.

Si votre organisation a besoin d'un accord de traitement des données signé pour couvrir le RGPD ou d'autres obligations, écrivez à legal@onthebias.co et nous en mettrons un en place.

La sécurité n'est jamais terminée. Nous travaillons à l'obtention d'un rapport SOC 2 Type II, à des tests d'intrusion formels selon un rythme récurrent, et à une journalisation d'audit étendue accessible aux administrateurs d'espace de travail. Nous mettrons cette page à jour à mesure que ces contrôles seront mis en place.