Sécurité et confidentialité

Vos données sont hébergées dans l'UE

Kit est hébergé sur Hetzner Cloud à Nuremberg, en Allemagne. Vos données de recrutement sont chiffrées au repos et en transit, protégées par une analyse de sécurité continue, et stockées au sein de l'Union européenne.

Hébergé dans l'UE (Allemagne)
Chiffré au repos et en transit Protégé par Cloudflare Analyse de sécurité CI

Confidentialité et RGPD

Résidence des données

Toutes les données principales sont stockées dans l'Union européenne (Hetzner Cloud, Nuremberg, Allemagne). Aucun transfert routinier de données personnelles vers les États-Unis à des fins d'infrastructure.

Conformité RGPD

Kit est conçu pour soutenir vos obligations de conformité au RGPD. Nous fournissons un accord de sous-traitance complet, prenons en charge les droits des personnes concernées et proposons des outils intégrés pour l'export, l'anonymisation et la gestion du consentement.

Accord de sous-traitance des données

Notre accord de sous-traitance couvre toutes les clauses obligatoires de l'article 28 du RGPD, y compris la gestion des sous-traitants ultérieurs, la notification de violation, les droits d'audit et les garanties de transfert international.

Consulter notre accord de sous-traitance

Gestion du consentement

Gestion intégrée du consentement pour les données candidats avec des durées de conservation configurables, expiration automatique, flux de renouvellement et piste d'audit.

Conformité

RGPD

  • Accord de sous-traitance des données disponible
  • Droits des personnes concernées pris en charge (accès, rectification, effacement, limitation, portabilité, opposition)
  • Outils d'export et d'anonymisation des données
  • Gestion du consentement avec piste d'audit
  • Infrastructure hébergée dans l'UE
  • Couvre également le RGPD britannique et la LPD suisse

ePrivacy

  • Consentement aux cookies avec opt-in pour l'analytique
  • Cookies essentiels uniquement par défaut
  • Microsoft Clarity limité aux pages marketing
  • Désinscription en un clic par e-mail (RFC 8058)

CCPA

  • Aucune vente ni partage de données personnelles
  • Suppression des données sur demande
  • Droit de savoir quelles données sont collectées
  • Non-discrimination pour l'exercice des droits à la vie privée

Infrastructure

Hébergement

Toute l'infrastructure fonctionne sur Hetzner Cloud à Nuremberg, en Allemagne (datacenter nbg1-dc3, zone réseau eu-central). Aucun sous-traitant américain pour l'infrastructure principale. Vos données applicatives sont stockées dans l'UE.

Résidence des données

Votre base de données fonctionne sur un réseau privé sans exposition à l'internet public. Tout le trafic base de données reste sur des interfaces locales. Les sauvegardes sont chiffrées et stockées dans l'UE.

Infrastructure e-mail

Serveur de messagerie auto-hébergé dans l'UE. Les e-mails et notifications aux candidats ne transitent jamais par une infrastructure de messagerie américaine tierce. Contrôle total sur l'acheminement des e-mails et la résidence des données.

Sécurité en périphérie

Cloudflare fournit une protection DDoS, un pare-feu applicatif web (WAF) et la terminaison TLS. Le traitement dans l'UE est disponible pour les services Cloudflare.

Chiffrement

En transit

Toutes les connexions sont chiffrées avec TLS 1.2 ou supérieur. HSTS est activé. Les points d'accès API requièrent HTTPS.

Au repos

Les champs de données personnelles sensibles sont chiffrés au niveau applicatif (chiffrement déterministe et non déterministe). Les volumes de stockage sont chiffrés. Les sauvegardes sont chiffrées.

Données de paiement

Tous les paiements sont traités par Stripe. Kit ne stocke, ne traite et n'a jamais accès aux numéros complets de carte bancaire. Stripe est certifié PCI DSS Niveau 1.

Sécurité applicative

Analyse de sécurité automatisée

Chaque déploiement est conditionné à la réussite de Brakeman (analyse statique des vulnérabilités Rails), bundler-audit (vérification des CVE des gems Ruby) et importmap audit (vérification des dépendances JavaScript). Aucun code n'est déployé sans avoir passé ces contrôles.

Protections du framework

Construit sur Ruby on Rails 8, qui offre une protection intégrée contre les attaques CSRF, XSS, injection SQL et autres vulnérabilités du Top 10 OWASP. Les en-têtes Content Security Policy sont appliqués.

Revue de code

Toutes les modifications passent par une revue de pull request avant fusion. Le linting automatisé (RuboCop, ERB Lint) garantit le respect des standards de qualité du code.

Gestion des dépendances

Alertes automatisées pour les dépendances vulnérables. Mises à jour régulières du framework et des bibliothèques. Surveillance continue des avis de sécurité.

Contrôle d'accès

Authentification

Les mots de passe sont hachés de manière sécurisée. L'authentification à deux facteurs est disponible en option. Gestion des sessions avec des cookies sécurisés HTTP-only.

Permissions d'équipe

Contrôle d'accès basé sur les rôles (propriétaire, administrateur, membre) par compte. Permissions granulaires pour les étapes du pipeline de recrutement. Piste d'audit pour les actions sensibles.

Sécurité API

Jetons d'API basés sur JWT avec permissions granulaires. Limitation de débit sur tous les points d'accès API. Rotation des jetons prise en charge.

Accès interne

Petite équipe technique (2-3 personnes). Aucun identifiant partagé. Principe du moindre privilège pour tous les accès système.

Sous-traitants ultérieurs

Nous utilisons les sous-traitants suivants. Les détails complets, y compris les mécanismes de transfert, figurent dans notre accord de sous-traitance (Annexe 3) :

Fournisseur Finalité Localisation
Hetzner Online GmbH Infrastructure, calcul, stockage Nuremberg, Allemagne
Cloudflare, Inc. CDN, DNS, protection DDoS Global (DPF + CCT)
Stripe, Inc. Traitement des paiements États-Unis (DPF + CCT)
Functional Software, Inc. (Sentry) Surveillance des erreurs États-Unis (DPF + CCT)
Voir la liste complète des sous-traitants dans notre ATD

Divulgation de vulnérabilités

Kit gère un programme de divulgation de vulnérabilités avec un formulaire de soumission dédié, un processus de triage structuré et une politique de sécurité publiée. Nous nous engageons à accuser réception des signalements sous 48 heures.

Signaler une vulnérabilité Consulter notre politique de sécurité

Notre fichier security.txt est publié à l'adresse /.well-known/security.txt

Disponibilité et statut

Nous publions des informations de statut en temps réel, incluant l'historique de disponibilité et les rapports d'incidents.

Voir la page de statut

Des questions ?

Pour toute question relative à la sécurité, contactez-nous :

[email protected]

Dernière mise à jour : 31 mars 2026