← Retour 🛡️ Sécurité by design

Sécurité

Architecture de sécurité de Patrimyn, mesures techniques en place, et procédure de signalement responsable de vulnérabilités.

1. Notre philosophie

Patrimyn manipule des données financières sensibles : soldes bancaires, transactions, positions boursières, crypto-actifs. Notre engagement : traiter ces données avec la même rigueur qu'une banque, sans en avoir la complexité.

Trois principes guident nos choix techniques :

• Minimalisme : nous collectons uniquement ce qui est nécessaire au service. Aucune donnée vendue, aucune publicité.
• Lecture seule : Patrimyn ne peut jamais initier de paiement ou virement. La connexion bancaire est read-only via les agrégateurs PSD2 agréés.
• Souveraineté utilisateur : tu peux à tout moment exporter (Art. 20 RGPD) ou supprimer (Art. 17 RGPD) toutes tes données.

2. Mesures techniques en place

🔐

Chiffrement

TLS 1.3 forcé pour tous les échanges. HSTS activé. Mots de passe hashés (bcrypt côté Supabase) — l'administrateur ne peut pas les lire.

🔑

Authentification

Supabase Auth (JWT signé HS256). Connexion email/password ou OAuth Google. Tokens à durée limitée, renouvelés automatiquement.

🛡️

Isolation des données

Row Level Security (RLS) Postgres : chaque utilisateur ne peut lire et écrire que ses propres données, vérifié au niveau base de données.

⚖️

Conformité PSD2

Agrégation bancaire via Powens (ACPR n° 16958) et Enable Banking (Finanssivalvonta). Lecture seule, consentement explicite renouvelable.

🚧

Headers HTTP

HSTS, X-Frame-Options DENY (anti-clickjacking), X-Content-Type-Options nosniff, Referrer-Policy strict, CSP active.

⚡

Rate limiting

Limitation par IP et par utilisateur sur tous les endpoints sensibles (auth, agrégation bancaire, génération PDF, export).

🌍

Hébergement EU

Données stockées dans l'Union européenne (Supabase EU, Railway EU). Aucun transfert hors UE pour les données personnelles.

🗑️

Effacement

Suppression de compte = purge complète sous 30 jours sur toutes les tables (RGPD Art. 17), avec confirmation explicite.

3. Architecture de confiance

Patrimyn s'appuie sur des prestataires reconnus pour minimiser sa propre surface d'attaque :

Supabase (auth + base de données, hébergement AWS région EU)
Powens et Enable Banking (établissements de paiement agréés ACPR / Finanssivalvonta) — chacun applique ses propres mesures de sécurité conformes à la directive PSD2
Railway (hébergement applicatif, région EU)
Cloudflare (CDN + protection DDoS)

Aucun de ces prestataires n'utilise tes données à des fins commerciales ou publicitaires.

4. Ce que Patrimyn ne fait pas

✓ Ce que nous faisons

Lire tes comptes en seule lecture
Stocker ton patrimoine chiffré en transit
Te laisser exporter et supprimer tes données
Loguer uniquement le strict nécessaire (jamais montants/IBAN/descriptions)

✗ Ce que nous ne faisons jamais

Initier des paiements ou virements
Vendre ou partager tes données
Utiliser des cookies publicitaires
Conserver tes mots de passe en clair

5. Signaler une vulnérabilité (responsible disclosure)

Tu as découvert une faille ? Préviens-nous d'abord.

Patrimyn applique une politique de divulgation responsable. Si tu identifies une vulnérabilité (XSS, contournement RLS, fuite de données, IDOR, etc.), nous te demandons de :

Nous signaler la faille en privé avant toute publication
Nous laisser 30 jours pour corriger avant divulgation publique
Ne pas exploiter la vulnérabilité au-delà de ce qui est nécessaire pour la prouver
Ne pas accéder, modifier ou supprimer les données d'autres utilisateurs
Ne pas dégrader le service (DoS, spam, etc.)

En contrepartie, nous nous engageons à :

Accuser réception sous 72 heures
Te tenir informé du traitement
Te créditer publiquement (si tu le souhaites) une fois la faille corrigée
Ne pas engager de poursuites contre les chercheurs respectant cette politique de bonne foi

Hors scope : ingénierie sociale, attaques physiques, vulnérabilités tierces (Powens, Supabase, Railway — à signaler directement à ces prestataires), automatisation massive (scanners de vuln auto), problèmes de sécurité dans des navigateurs obsolètes.

Contact sécurité dédié

Pour tout signalement de vulnérabilité ou question sécurité :

contact@patrimyn.com

Voir aussi notre fichier /.well-known/security.txt (RFC 9116)

6. Notification de violation

En cas d'incident de sécurité affectant tes données personnelles, et conformément à l'article 33 RGPD, nous notifierons l'Autorité de protection des données dans les 72 heures suivant la découverte. Si l'incident présente un risque élevé pour tes droits et libertés, tu en seras personnellement informé par email dans les meilleurs délais (Art. 34 RGPD).

7. Audits et améliorations continues

Patrimyn fait l'objet d'audits internes réguliers. La roadmap sécurité prévoit notamment :

Pen-test externe ciblé
Migration du rate-limit en mémoire vers un backend Redis pour le scaling multi-instance
DPIA formelle (analyse d'impact RGPD)
Programme de bug bounty si la base utilisateur le justifie

Dernière mise à jour : avril 2026