SOC 2 TYPE II · ISO 27001 · RGPD

Sécurité.
Par défaut, partout.

Chiffrement moderne, isolation stricte, audits indépendants, bug bounty public. La sécurité n'est pas un add-on — c'est une ligne de base.

Six piliers

Comment on sécurise votre production

§ 01

Chiffrement partout

TLS 1.3 en transit. AES-256 au repos avec envelope encryption. BYOK via AWS KMS / HashiCorp Vault sur plan Enterprise.

TLS 1.3 · AES-256

RLS natif Postgres

Vos règles d'accès vivent dans la base. Policies testables, impossibles à contourner côté client. Claims JWT injectés par le gateway.

RLS · JWT CLAIMS

Auth enterprise

SSO SAML 2.0, SCIM 2.0, MFA obligatoire configurable, passkeys WebAuthn, session binding device fingerprint.

SAML · SCIM · MFA

Audits réguliers

Pen-tests trimestriels par un cabinet indépendant (Synacktiv). SOC 2 Type II renouvelé chaque année. ISO 27001 certifié.

Q1 · Q2 · Q3 · Q4

Bug bounty public

Programme sur huntr.dev/aurabase. Primes de 500€ à 10 000€ selon la sévérité. Disclosure policy sous 90 jours.

37 CVEs DISCLOSED

Monitoring 24/7

SOC interne avec runbooks documentés. Détection d'anomalies ML-based. Alerting PagerDuty, bridge call sous 15 min pour S1.

MTTR P1 · 28 MIN

Isolation

Schema-per-project — physique, pas logique

§ 02

Contrairement aux plateformes qui mutualisent les données clients dans une grande table tenant_id, Aurabase donne à chaque projet son propre schéma Postgres. L'isolation est physique : un bug applicatif ne peut pas faire fuir les données d'un autre client, car les requêtes sont scoped par search_path injecté au niveau de la connexion.

Info

Chaque projet reçoit 4 sous-schémas : project_{uuid} pour vos tables métier, ..._auth pour l'identité, ..._storage pour les métadonnées objets, ..._platform pour les jobs et secrets.

Bug bounty

On paie pour que vous cassiez

§ 03

SévéritéExemplesPrime

CriticalRCE, accès root base, fuite données cross-tenant10 000 €

HighSQL injection, bypass auth, escalation privilège3 000 €

MediumXSS stored, CSRF, DoS applicatif800 €

LowInfo disclosure, rate-limit bypass, log injection200 €

Astuce

Programme sur huntr.dev/aurabase. Disclosure coordonnée sous 90 jours. Hall of fame public sur cette page.

Contact

Signaler une vulnérabilité

§ 04

Pour signaler une vulnérabilité de sécurité, passez par notre adresse dédiée ou notre programme public. Nous ne pénalisons jamais les chercheurs de bonne foi (safe harbor policy).

security@aurabase.dev huntr.dev/aurabase ↗

PGP key: 8F3A 2E1C 4B5D 6E7F · télécharger

Pour aller plus loin

Ressources complémentaires

§ 05

Conformité détailléeSOC2, ISO, HIPAA, FedRAMP. Rapports sous NDA.Trust CenterArchitecture sécurité, audit logs, BYOK.DPA · RGPDData Processing Agreement signable.Status pageIncidents publics, post-mortems, SLA.

UNE QUESTION SÉCURITÉ ?

Parlons-en avant que ce soit critique.

Notre équipe sécurité répond sous 24h ouvrées. Pour les exigences Enterprise, on signe un NDA pour partager les rapports détaillés.

Contacter la sécurité Trust Center

Aucune carte bancaire requise · 500 MB gratuits · 50 000 MAU

Sécurité.Par défaut, partout.