Skip to main content

Sécurité et Conformité

DDash est une surcouche de monitoring en lecture seule. Il se connecte via API et webhooks. Il n'initie pas, ne route pas, n'enregistre pas et ne modifie pas les appels.

Infrastructure

Fournisseur Cloud

AWS (US-West-2, Oregon)

Calcul

AWS Lightsail, Docker Compose

Base de données

TimescaleDB (PostgreSQL 16)

Messagerie

Redis 7.x pub/sub

Serveur Web

nginx avec terminaison TLS

Frontend

React + Vite, assets statiques

Chiffrement

En Transit

TLS 1.2+ sur toutes les connexions. HTTPS obligatoire.

Au Repos

Chiffrement au niveau du volume AWS pour tout le stockage.

Architecture d'Événements Immuable

Isolation à deux bases de données pour l'intégrité et la non-répudiation.

Base Opérationnelle

État actuel des agents, appels actifs, données temps réel. Lecture/écriture.

Archive d'Événements

Enregistrement immuable en ajout uniquement. Permissions INSERT uniquement. Pas d'UPDATE/DELETE.

Aucun service ne détient les identifiants des deux bases de données. Isolation imposée au niveau conteneur et identifiants.

Contrôles d'Accès

Authentification

Microsoft Entra, Google, GitHub, Discord, identifiants locaux. SAML sur le niveau Enterprise.

Autorisation

RBAC avec quatre rôles : admin, superviseur, opérateur, utilisateur. Principe du moindre privilège.

Réseau

Groupes de sécurité AWS. Pas de ports de base de données publics. Conteneurs Docker sur réseau privé.

Gestion des Données

Nous Collectons

  • • Événements de statut des agents
  • • Métadonnées d'appel (ID, heure, durée)
  • • Métriques de file
  • • Identifiants utilisateurs (nom, email, poste)

Nous Ne Collectons Pas

  • • Audio ou enregistrements d'appels
  • • Contenu de messagerie vocale
  • • Contenu SMS/vidéo
  • • NSS ou données financières

Rétention par défaut : 90 jours (configurable). Sauvegardes : snapshots de 7 jours. Notification de violation : 72 heures.

Position de Conformité

CadreStatut
RGPDCSC, DPA (tous niveaux), assistance aux droits des personnes concernées
CCPAPas de vente/partage d'informations personnelles. Suppression sous 30 jours.
HIPAAPas de PHI traités. BAA disponible niveau Enterprise.
SOC 2Sur la feuille de route. Contrôles conformes aux TSC.
PCI DSSNon applicable — aucune donnée de carte de paiement traitée.

Documents Juridiques

Addendum de Traitement des Données Accord de Niveau de Service

Questions de sécurité ou signalements de vulnérabilités :

security@rprtechnologies.com