Sécurité, par défaut
Criativity est pensé pour un niveau entreprise française : données en UE, chiffrement systématique, RGPD natif. Voici nos engagements.
Données et hébergement
- Toutes les données hébergées en Union européenne (Supabase EU, fonctions Vercel à Paris). Aucun transfert hors UE.
- Images stockées dans des buckets privés, servies uniquement par URLs signées à durée courte.
- Sauvegardes automatiques et Point-in-Time Recovery.
Tes clés API — l’actif critique
- Chiffrées au repos (Supabase Vault, ou chiffrement applicatif AES-256-GCM avec IV unique par clé).
- Déchiffrées et utilisées uniquement côté serveur : la clé ne quitte jamais nos serveurs, n’est jamais loggée.
- Affichage limité aux 4 derniers caractères. Rotation et révocation en un clic, tracées.
Authentification et accès
- Connexion par lien magique, MFA TOTP optionnelle pour les propriétaires.
- Sessions courtes, invalidées à la révocation d’un membre.
- Rôles vérifiés systématiquement côté serveur, jamais seulement dans l’interface.
- Rate limiting sur les routes sensibles (auth, test de clé, génération).
Application
- Validation stricte de toutes les entrées API.
- Protection SSRF sur les URLs d’inspiration (https uniquement, blocage des adresses privées, timeout, taille max).
- Uploads d’images vérifiés par type réel, plafonnés à 10 Mo, re-encodés côté serveur.
- En-têtes de sécurité stricts : CSP sans script inline, HSTS, protections anti-clickjacking et anti-sniffing. Aucun script tiers, polices auto-hébergées.
RGPD natif
- Minimisation : seuls l’email et le prénom sont nécessaires.
- Export des données du workspace et suppression de compte en self-service (purge sous 30 jours).
- Rétention des images : 30 jours en Free, 1 an en Pro, purge automatique.
- Registre des sous-traitants détaillé ci-dessous, avec leurs régions.
Registre des sous-traitants
Les providers de génération d’assets sont contractés par le client, qui utilise ses propres clés API.
| Sous-traitant | Rôle | Région |
|---|---|---|
| Supabase | Base de données, auth, stockage | Union européenne |
| Vercel | Hébergement application et fonctions | Paris (cdg1) |
| Stripe | Paiement des abonnements | UE / adéquation |
| Resend | Emails transactionnels | UE / adéquation |
| Mistral | Intelligence interne (analyse, prompt master, créatif) | Union européenne |
| Nano Banana (Google) | Génération d’images — contracté par le client, avec sa propre clé | Fournisseur du client |
| Veo (Google) | Génération vidéo (v2) — contracté par le client, avec sa propre clé | Fournisseur du client |