Pointon
Sécurité by design

Pratiques de sécurité

Dernière mise à jour : 25 mai 2026

La sécurité des données de pointage de vos employés est une priorité absolue. Voici comment Pointon protège vos données à chaque niveau.

Table des matières

  1. 1. Chiffrement & transport
  2. 2. Authentification & accès
  3. 3. Infrastructure & sauvegardes
  4. 4. Isolation des données
  5. 5. Surveillance & audit
  6. 6. Gestion des incidents
  7. 7. Signaler une vulnérabilité

1. Chiffrement & transport

HTTPS / TLS 1.3

Toutes les communications entre votre navigateur et nos serveurs sont chiffrées via TLS 1.3. HTTP est automatiquement redirigé vers HTTPS.

Mots de passe bcrypt

Les mots de passe ne sont jamais stockés en clair. Nous utilisons bcrypt avec un cost factor de 12, rendant les attaques par force brute impraticables.

Tokens signés (JWT)

Les sessions sont gérées via des JSON Web Tokens signés avec une clé secrète serveur. Les tokens expirent automatiquement (8h sans "Se souvenir de moi", 30-90j avec).

Tokens d'invitation & reset

Les tokens d'invitation et de réinitialisation de mot de passe sont générés de manière cryptographiquement sécurisée, à usage unique, avec expiration de 24-48h.

2. Authentification & accès

Contrôle d'accès basé sur les rôles (RBAC)

Chaque utilisateur dispose d'un rôle précis qui détermine ses permissions :

EMPLOYEE

Accès à ses propres données uniquement

MANAGER

Accès aux données de son équipe

ADMIN

Gestion complète de son entreprise

SUPER_ADMIN

Supervision globale (Ced-IT uniquement)

Rate limiting

Les endpoints sensibles (login, reset de mot de passe) sont protégés par un rate limiter pour prévenir les attaques par force brute. Limite : 3 tentatives / 15 minutes.

Anti-énumération

Les réponses aux tentatives de connexion ou de reset de mot de passe sont identiques qu'un compte existe ou non, empêchant la découverte d'emails enregistrés.

3. Infrastructure & sauvegardes

Docker isolé

L'application et la base de données sont isolées dans des conteneurs Docker, limitant la surface d'attaque.

PostgreSQL

Base de données relationnelle robuste avec contraintes d'intégrité, transactions ACID et journalisation des modifications.

Sauvegardes régulières

Les données sont sauvegardées quotidiennement. Les sauvegardes sont chiffrées et stockées dans une localisation géographique distincte.

VPS dédié (Hostinger)

Hébergement sur serveur virtuel dédié en zone UE, sans partage de ressources avec d'autres clients.

4. Isolation des données

Pointon est une application multi-tenant : chaque entreprise dispose de ses propres données totalement isolées. Cette isolation est garantie à plusieurs niveaux :

Toutes les requêtes API filtrent systématiquement par companyId
Aucune donnée d'une entreprise ne peut être accessible depuis un compte d'une autre entreprise
Les admins ne peuvent gérer que les utilisateurs de leur propre entreprise
Les exports (CSV, PDF) sont filtrés par entreprise et vérifiés côté serveur

5. Surveillance & audit

Toutes les actions sensibles sont enregistrées dans un audit trail immuable :

Connexions / déconnexions
Pointages (arrivée / départ)
Modifications de données utilisateur
Approbation / rejet de demandes
Changements de mot de passe
Invitations et suppressions de comptes
Ajustements de solde
Exports de données

6. Gestion des incidents

En cas de violation de données ou d'incident de sécurité, Pointon s'engage à :

  1. Identifier et contenir l'incident dans les 4 heures
  2. Notifier les entreprises concernées dans les 24 heures
  3. Notifier l'Autorité de Protection des Données belge dans les 72 heures (art. 33 RGPD)
  4. Publier un rapport post-incident dans les 30 jours

7. Signaler une vulnérabilité

Si vous découvrez une vulnérabilité de sécurité dans Pointon, nous vous encourageons à nous la signaler de manière responsable (responsible disclosure). Nous nous engageons à répondre dans les 48 heures et à corriger les vulnérabilités critiques dans les 7 jours.

Email de sécurité : security@ced-it.be
PGP : Disponible sur demande