Skip to main content
Brainiall
Se connecterCommencer

Centre de confiance

Position de sécurité, carte de route de conformité, et comment nous protégeons vos données.

Carte de route de conformité

  • Le RGPD (UE / Royaume-Uni) Conformité par Processus de données AddendumSCC Module 2 pour les transferts internationaux, 72 heures de notification d'infraction.
  • Le PSG (Brasil) - conformité par défaut; résident des données au Brésil où il est demandé.
  • Contrôles SOC 2 en place (audit Type II prévu T3 2026) - les contrôles mis en œuvre; audit formel ciblé Q3 2026. CAIQ v4 Autocertification Actuellement disponible (CSA Cloud Controls Matrix, 17 domaines).
  • HIPAA - BAA disponible sur demande pour les charges de travail en soins de santé (Enterprise tier).
  • La norme ISO 27001 — contrôles alignés; certification poursuivie en 2027.

Architecture de sécurité

Défense en profondeur sur la voie de demande :

  • et Edge — Caddy reverse proxy sur TLS 1.2+ avec renouvellement automatique Let's Encrypt. HSTS, X-Frame-Options DENY, X-Content-Type-Options nosniff, strict-original Referrer-Policy, restrictive Permissions-Policy.
  • La porte d'Auth - Tous les appels API validés par Auth-proxy : V3 contre les clés de Porteur (SHA-256 marqué dans Redis), les limites de vitesse de la fenêtre per-tier, et l'ouverture par produit avant toute finition est atteinte.
  • CSP nonce - Nonses cryptographiques par requête sur chaque script en ligne; « Insécurité » est non fonctionnel. empêche XSS même sur le contenu utilisateur dynamique.
  • Le marché des webhooks — Signature Microsoft AD JWT validée contre JWKS (RS256), auditeur et émetteur vérifié, avec opération_id replay-attack défense et garde d'identité.
  • Isolation intérieure - Chaque conteneur en arrière-end expose les services uniquement via X-Internal-Key transmis par l'auth-proxy. 127.0.0.1 (loopback) de sorte qu'ils ne sont pas accessibles des réseaux externes même si une mauvaise configuration a eu lieu.
  • Résistance des conteneurs Tous les conteneurs ont Récupération = Récupération Les conteneurs malsains sont automatiquement relancés en ~90 secondes.

Traitement des données

  • Le paiement de API - Traité en mémoire et désactivé immédiatement sur la réponse. Nous ne logons, stockons, ou entraînons sur les charges payantes des clients. Les logs ne contiennent que des métadonnées (timestamp, endpoint, état, latence, nombre de bytes).
  • Les clés d'incendie - stocké comme hashes SHA-256 ; la clé de plaintext n'existe que sur votre machine après l'émission.
  • PII Rédaction - les fichiers d'erreur scrab email, téléphone, IP, et d'autres modèles PII courants avant d'être envoyé à notre tracker d'erreur (Glitchtip, auto-host).
  • Encryption - TLS en transit (pas de plaintext nulle part); chiffrement au niveau du volume en repos sur la couche hôte.

sous-processeurs

Mise à jour 2026-04-28.Nous donnons une notification de 30 jours avant l'ajout de nouveaux sous-processeurs.

  • Latitude.sh (Brazil/États-Unis) — hébergement en métal bar. Contrôles SOC 2 en place (audit Type II prévu T3 2026).
  • Société Microsoft (Réservation du marché Azure) DPA / SCC.
  • Stripe (États-Unis) — traitement des paiements directs. PCI-DSS Niveau 1.
  • Plausible (autohosté) - Analyses de confidentialité : aucune donnée personnelle n’a été envoyée hors de notre infrastructure.

Réponses violées

Si nous découvrons une violation des données à caractère personnel telle que définie par l’article 4(12) du RGPD :

  1. Compter et évaluer la portée dans un délai d'une heure.
  2. Notifier les contrôleurs concernés dans les 72 heures par e-mail sur le fichier.
  3. Fournir la nature, les catégories, les comptes approximatifs, les conséquences susceptibles et les étapes d'atténuation.
  4. Envoyer un rapport d'incident public sur la page de statut.

Détection de vulnérabilité

Nous accueillons la divulgation responsable. e-mail security@brainiall.com Nous reconnaissons dans un délai de 1 jour ouvrable, cibler une fenêtre de divulgation coordonnée de 90 jours, et les journalistes de crédit dans notre CHANGELOG public (avec permission).

Au-delà de la scène : Limitation des taux, ingénierie sociale, attaques physiques, refus de service par charge.
Le bonus : Pas encore formalisé - nous offrons des crédits de reconnaissance + Brainiall pour les rapports valides.

Inscrivez-vous aux mises à jour de sécurité

Nous informons les clients et le public par le biais de Page de statut Pour les clients d'entreprise, nous envoyons également des alertes de courrier électronique RFC-5322 signées à votre contact de sécurité désigné.

Le papier prêt à l'approvisionnement

Pour les équipes d'approvisionnement qui effectuent une évaluation des risques du fournisseur de premier pas, les documents ci-dessous couvrent ~90% des questionnaires de sécurité communs (SIG, CAIQ, RFP personnalisés).