Sécurité

HomeFlow gère quotidiennement des données sensibles : réservations voyageurs, coordonnées bancaires, contrats de location, photos de check-in/check-out. Nous appliquons les meilleures pratiques du secteur (chiffrement, défense en profondeur, principe du moindre privilège) pour garantir la confidentialité, l'intégrité et la disponibilité de ces données.

Nous suivons les recommandations de l'ANSSI, de la CNIL et les standards du PCI-DSS pour les paiements (via Stripe).

• TLS 1.3 obligatoire sur l'ensemble des communications entre client et serveur (site, app, API)
• Configuration HSTS forcée avec préchargement (préinscription navigateurs)
• Certificats SSL renouvelés automatiquement (Let's Encrypt)
• Chiffrement au repos des bases de données et des sauvegardes (AES-256)
• Stockage des photos et documents sur volume chiffré

L'ensemble du service HomeFlow (site vitrine, application web, API, bases de données, fichiers) est hébergé en France métropolitaine chez OVH SAS (2 rue Kellermann, 59100 Roubaix, France).

• Centres de données certifiés ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, SOC 2 Type II et HDS (Hébergement de Données de Santé)
• Redondance électrique N+1, refroidissement libre de la chaleur émise
• Connexion réseau redondante avec protection anti-DDoS native
• Aucune donnée transférée hors UE pour les données métier (sauf sous-traitants identifiés dans la politique de confidentialité)

• Mots de passe utilisateurs hachés via bcrypt (jamais stockés en clair)
• Tokens JWT signés à durée limitée + mécanisme de refresh sécurisé
• Authentification fédérée OAuth 2.0 avec Google et Microsoft (option)
• Magic links pour la connexion app mobile équipe / propriétaire
• Politique de gestion fine des rôles : administrateur, gestionnaire, intervenant, propriétaire
• Verrouillage automatique du compte après tentatives multiples échouées
• Accès du personnel HomeFlow journalisé et revu trimestriellement

HomeFlow ne stocke jamais les coordonnées bancaires de vos voyageurs. L'intégralité des paiements et pré-autorisations de cautions transite par Stripe, certifié PCI-DSS niveau 1 (le plus haut niveau). Seuls des identifiants Stripe non sensibles sont conservés dans HomeFlow pour faire le lien.

L'authentification forte 3D Secure 2 (PSD2) est appliquée systématiquement pour les paiements depuis l'Espace Économique Européen.

• Sauvegardes complètes quotidiennes et incrémentielles toutes les heures
• Conservation des sauvegardes pendant 30 jours, sur site distinct du serveur principal
• Tests de restauration réalisés mensuellement
• RPO (Recovery Point Objective) : 1 heure
• RTO (Recovery Time Objective) : 4 heures

• Journalisation complète des accès aux données sensibles (qui, quand, depuis quelle IP)
• Audit régulier des dépendances logicielles (vulnérabilités CVE) avec patching prioritaire
• Alertes automatiques sur événements suspects (multiples échecs de connexion, exfiltration anormale, etc.)
• Logs conservés 12 mois minimum, dans un système isolé en lecture seule

HomeFlow est conforme au Règlement (UE) 2016/679 :

• Privacy by design : minimisation des données collectées, paramètres par défaut respectueux
• Registre des traitements maintenu à jour
• Contrats de sous-traitance (DPA) signés avec tous les sous-traitants critiques
• Procédure formalisée d'exercice des droits (accès, rectification, effacement, portabilité)
• Politique de durée de conservation alignée sur l'usage et les obligations légales

Voir notre Politique de confidentialité pour les détails.

En cas d'incident affectant la confidentialité, l'intégrité ou la disponibilité de vos données, HomeFlow s'engage à :

• Détecter et confiner l'incident dans les délais les plus courts
• Notifier la CNIL dans un délai de 72 heures conformément à l'article 33 du RGPD
• Informer les clients et personnes concernées sans délai injustifié si la violation présente un risque élevé
• Procéder à une analyse post-incident et appliquer les correctifs nécessaires

Si vous identifiez une vulnérabilité ou un comportement suspect, nous vous remercions de nous le signaler de manière responsable, avant toute divulgation publique.

• Email dédié : contact@myhomeflow.fr avec objet « Sécurité — vulnérabilité »
• Délai de premier retour : sous 48 heures ouvrées
• Engagement de ne pas poursuivre les chercheurs agissant de bonne foi (good faith research)
• Reconnaissance dans nos remerciements publics, avec votre accord