Sécurité & Conformité

Comment Prod Watch protège vos données et garantit la continuité de votre service. Dernière mise à jour : mai 2026.

Cette page résume les mesures techniques et organisationnelles mises en œuvre par LAMSTER (Prod Watch) pour garantir la sécurité, la confidentialité et la disponibilité de votre service de QA managé. Elle est destinée aux DSI, RSSI et services achats qui évaluent notre solution.

1. Hébergement & localisation des données

• Localisation : OVH SAS, datacenter de Gravelines (France, Union Européenne). Aucune donnée client n'est stockée ni transférée hors UE.
• Conformité RGPD : entité française (LAMSTER EURL, SIRET 944 775 337), hébergeur français, données EU-only.
• Redondance backup : sauvegardes chiffrées, quotidiennes, conservées 30 jours en local + offsite Backblaze B2 (provider tiers indépendant pour vraie résilience géographique). Restauration testée régulièrement.

2. Chiffrement

• En transit : HTTPS (TLS 1.2+) obligatoire sur toutes les communications externes. Certificats Let's Encrypt renouvelés automatiquement.
• Au repos : sauvegardes chiffrées AES-256. Credentials de tests (logins applicatifs, tokens API tiers) chiffrés en base via AES-256-GCM.
• Mots de passe utilisateurs : hashés via bcrypt (facteur de coût 12). Aucun mot de passe en clair n'est jamais stocké.

3. Authentification & contrôle d'accès

• Sessions sécurisées : cookie HttpOnly, Secure, SameSite=Lax. Expiration 24h (défaut) ou 30 jours (option "Se souvenir de moi"). Révocation instantanée possible par votre administrateur.
• 4 rôles distincts : super_admin (équipe Prod Watch), admin (équipe Prod Watch déléguée), client_admin (votre administrateur), viewer (lecture seule, scope limité à des projets/produits précis).
• Magic links : tokens uniques à usage limité pour accès rapport partagé, validité 7 jours maximum.
• Rotation tokens API : webhooks de déclenchement par projet, rotation 1-clic à tout moment depuis votre dashboard.

4. Protection applicative

• Headers de sécurité durcis : Content Security Policy (CSP) stricte sans unsafe-inline/unsafe-eval, HSTS, X-Frame-Options, anti-clickjacking, Permissions-Policy.
• 7 rate limiters : protection contre brute-force (login, reset password, formulaire contact), anti-DDoS (API authentifiée, webhooks publics), anti-abus (lancement de runs).
• Cap global de runs concurrents : limite stricte sur l'infrastructure pour empêcher qu'un client (même malveillant) puisse dégrader le service des autres ("noisy neighbor").
• Audit log : sessions et opérations critiques tracées en base avec horodatage, utilisateur, rôle.

5. Disponibilité & résilience

• Monitoring externe : surveillance 24/7 de la disponibilité du dashboard, alertes immédiates en cas d'incident.
• Watchdogs internes : détection automatique des runs plantés (heartbeat 3 min), des crons manqués, des saturations mémoire/CPU. Alertes opérationnelles automatiques.
• Disponibilité surveillée 24/7 sur le plan Sentinelle, alerting immédiat et plan de reprise testé (engagement renforcé personnalisable en plan Sur mesure). Tests de charge calibrés et documentés pour garantir la tenue de charge multi-tenant.
• Plan de reprise : sauvegarde + restauration testée, redémarrage automatique des services (PM2), monitoring uptime tiers.

6. Tests environnements internes (VPN / staging)

• Plans Vigie, Garde : nous testons vos environnements publics OU avec authentification standard (basic auth, OAuth, SSO via API token, IP whitelist de notre IP unique dédiée).
• Plans Sentinelle & Sur mesure : option runner self-hosted disponible - un container Docker installé sur votre infrastructure qui exécute les tests en local et pousse uniquement les résultats vers notre dashboard via internet sortant. Aucune donnée applicative ne quitte votre périmètre. Documentation détaillée (accessible aux clients connectés) : runner self-hosted.

7. Conformité RGPD

• Politique de confidentialité détaillée : consulter ici.
• Droits utilisateurs : accès, rectification, effacement, portabilité, opposition, limitation. Délai de réponse 30 jours maximum.
• Sous-traitants techniques : OVH (hébergement France), Backblaze (sauvegardes chiffrées EU), Anthropic / OpenAI (assistance interne à l'équipe Prod Watch, sans transfert de données clients en clair).
• DPA disponible sur demande pour les clients Sur mesure / régulés.

8. Bonnes pratiques de développement

• 1 000+ tests automatisés exécutés à chaque push pour prévenir les régressions et failles de sécurité.
• Lint & audit secrets : ESLint configuré pour attraper les ReferenceError et patterns de fuite. Scan de secrets (gitleaks) sur chaque commit.
• Mises à jour de sécurité : dépendances NPM monitorées (npm audit), correctifs critiques appliqués sous 7 jours.
• Code source : aucun secret ni credential dans le repository. Variables d'environnement séparées pour chaque environnement (dev/preprod/prod).

9. Plan de continuité

• RPO (Recovery Point Objective) : 24 h maximum (sauvegarde quotidienne).
• RTO (Recovery Time Objective) : 4 h en cas d'incident critique nécessitant restauration complète.
• Incident communication : email proactif aux clients impactés sous 1 h, page de statut publique mise à jour en temps réel.

10. Audits & certifications

Pour les organisations soumises à des obligations de conformité renforcées (ISO 27001, SOC 2, secteurs régulés - banque, santé, e-commerce à fort volume), nous proposons des conditions Sur mesure sur devis : DPA contractuel, engagement de disponibilité personnalisé, audit sécurité conjoint possible, runner self-hosted, déploiement assisté.

Contactez-nous : contact@prod-watch.com

Synthèse pour votre équipe achats / sécurité

Vous pouvez nous transmettre ce document à votre RSSI ou service compliance avant la signature. Les points clés à retenir :

• ✅ Données hébergées en France (OVH Gravelines), sauvegardes chiffrées dans l'UE, aucun transfert hors UE
• ✅ Entité juridique française (LAMSTER EURL, SIRET vérifiable)
• ✅ Chiffrement bout-en-bout (TLS 1.2+ en transit, AES-256 au repos)
• ✅ Sauvegardes quotidiennes + offsite + restauration testée
• ✅ Conformité RGPD complète (politique, DPA, droits utilisateurs)
• ✅ Plan de continuité documenté (RPO 24 h, RTO 4 h)
• ✅ Tests environnements internes via runner self-hosted (Sentinelle / Sur mesure)