Aller au contenu
Linteo Accès anticipé
Trust Center

Sécurité et conformité, par défaut

Linteo est l'identité de contact d'une résidence : elle doit rester fiable, joignable et protégée contre l'usurpation. Cette page détaille ce que nous faisons concrètement pour protéger les données que vous nous confiez.

Aucune coordonnée personnelle exposée

L'identité appartient à la résidence. Les adresses et numéros personnels des membres ne sont jamais publiés.

Hébergé en France

Infrastructure Scaleway, sous juridiction française et européenne. Aucune donnée ne quitte l'Union européenne.

Email protégé contre l'usurpation

SPF, DKIM et DMARC authentifient chaque message envoyé au nom de la résidence et bloquent les tentatives d'usurpation.

Conformité

Les références réglementaires que nous suivons.

RGPD

Conformité au Règlement (UE) 2016/679 sur la protection des données.

LCEN

Respect de l'article 6 de la loi pour la confiance dans l'économie numérique (mentions légales, hébergeur identifié).

CNIL

Mesure d'audience sans cookie (article 82 LIL), aucun traceur tiers non nécessaire.

Pratiques de sécurité

Des mesures techniques et organisationnelles, opérées en continu.

Chiffrement en transit

TLS 1.3 sur tous les canaux. HSTS strict. Pas de support des protocoles dépréciés.

Chiffrement au repos

La base de données et les sauvegardes sont chiffrées. Les secrets d'infrastructure ne sont jamais stockés en clair.

Authentification forte des administrateurs

Connexion par SSO ou email via LoginWith, avec second facteur. Seuls les administrateurs peuvent modifier la liste des membres.

Principe du moindre privilège

Chaque personne n'accède qu'aux résidences pour lesquelles elle a un rôle explicite. Révocation immédiate lors d'un départ du Conseil Syndical.

Authentification de l'email (SPF/DKIM/DMARC)

Chaque adresse de résidence est signée et alignée, afin qu'un tiers ne puisse pas envoyer d'email en se faisant passer pour votre Conseil Syndical.

Journaux d'administration horodatés

Chaque ajout ou retrait de membre, et chaque remise de message, est journalisé et horodaté pour garantir la traçabilité.

Rotation des secrets

Les secrets d'infrastructure sont gérés par Mozilla SOPS et chiffrés par des clés KMS. Rotation régulière documentée.

Réponse aux incidents

Procédure documentée de détection, confinement et notification. Les clients concernés sont prévenus sous 72 h en cas d'incident, conformément à l'article 33 du RGPD.

Infrastructure

Tous nos prestataires opèrent sous juridiction européenne.

Hébergement applicatif
Scaleway (France)
Base de données
Scaleway Managed Database (France)
Routage email
Scaleway Transactional Email (France)
Routage SMS
Twilio (Irlande, UE)
Authentification
LoginWith (France)
Mesure d'audience
Matomo auto-hébergé, sans cookie

La liste complète des sous-traitants, avec finalité et localisation, figure dans notre politique de confidentialité.

Divulgation responsable

Signaler une vulnérabilité

Linteo encourage la recherche éthique en sécurité. Si vous découvrez une vulnérabilité, nous nous engageons à vous répondre rapidement et à reconnaître votre contribution. Notre politique est publiée dans le fichier security.txt (RFC 9116).

Dans le périmètre

  • linteo.fr et ses sous-domaines
  • L'application web (résidences, membres, administration)
  • L'API publique
  • La chaîne de routage des emails et des SMS

Hors périmètre

  • Attaques par déni de service (DoS/DDoS) ou par volume
  • Ingénierie sociale, phishing d'employés, accès physique
  • Vulnérabilités dans les sous-traitants (Scaleway, Twilio, etc.)
  • Rapports basés uniquement sur des scanners automatiques sans preuve d'exploitation

Règles du jeu

  • Ne pas exfiltrer, modifier ou supprimer des données appartenant à un tiers. Utiliser des comptes de test.
  • Ne pas divulguer publiquement la vulnérabilité avant qu'une correction soit déployée et qu'un délai raisonnable (90 jours par défaut) soit écoulé.
  • Nous respectons les chercheurs qui respectent ces règles : aucune poursuite judiciaire ne sera engagée à leur encontre.

Un rapport à nous transmettre ?

Envoyez votre rapport à security@linteo.fr, avec étapes de reproduction et impact estimé.

Envoyer un rapport