YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.
Comment nous protégeons les données clients, assurons la disponibilité de la plateforme et restons conformes aux normes GMP Annex 11, 21 CFR Part 11 et GDPR de l'UE.
YARDtwin fonctionne sur Microsoft Azure avec les ressources de calcul en Norvège Est et en Suède Centre pour les données, le registre et les secrets. Toutes les données clients restent au sein de l'UE/EEE, conformément aux articles 44 à 49 du GDPR.
| Contrôle | Mise en œuvre | Statut |
|---|---|---|
| TLS | TLS 1.3 avec AES-256-GCM via Azure | Vérifié |
| WAF | Azure Front Door WAF (mode Prévention) | Actif |
| HSTS | max-age de 2 ans avec préchargement | Vérifié |
| HTTPS uniquement | Appliqué par App Service | Vérifié |
| Pare-feu DB | Azure uniquement + liste blanche d'IP admin | Vérifié |
| Contrôle | Mise en œuvre | Statut |
|---|---|---|
| Politique de mot de passe | 8+ caractères, majuscule, minuscule, chiffre, caractère spécial | Appliqué |
| Vérification de compromission | Recherche k-anonymat HIBP à l'inscription / modification | Actif |
| MFA | TOTP (Google/Microsoft Authenticator) | Disponible |
| SSO/SAML | SAML 2.0 (Azure AD, Okta, Google Workspace) | Actif |
| Force brute | 5 tentatives, verrouillage 15 min (429) | Actif |
| Jetons JWT | Accès 1 heure, rafraîchissement 7 jours | Actif |
| RBAC | 8 rôles avec application au niveau des routes | Actif |
| Isolation des tenants | Chaque requête filtrée par tenant_id | Vérifié |
| Contrôle | Mise en œuvre | Statut |
|---|---|---|
| Chiffrement au repos | Azure PostgreSQL AES-256 | Actif |
| Chiffrement en transit | TLS 1.3 | Actif |
| Hachage des mots de passe | bcrypt (12 tours) | Actif |
| SQL paramétré | 154 requêtes, 0 concaténation | Vérifié |
| Secrets | Azure Key Vault | Actif |
| Piste d'audit | Ajout uniquement, conforme ALCOA+ | Actif |
CSP stricte avec nonces par requête sur les scripts (pas de unsafe-inline). Ensemble complet d'en-têtes de sécurité retournés à chaque réponse : HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy, Cross-Origin-Resource-Policy.
Test de pénétration indépendant les 17 et 18 avril 2026 (10 catégories OWASP, 36 charges utiles) : 0 vulnérabilité.Tests de sécurité fonctionnels le 11 avril 2026 couvrant plus de 1 890 appels API sur 270 rendez-vous : 0 échec.Test d'intrusion annuel par un tiers planifié et audit SOC 2 Type II en cours.
Nous accueillons favorablement les signalements des chercheurs en sécurité. Envoyez un e-mail à admin@yardtwin.comavec une description de la découverte et les étapes pour la reproduire. Nous accusons réception dans un délai de 2 jours ouvrés et visons à corriger les problèmes critiques dans les 7 jours. Merci de ne pas divulguer publiquement les vulnérabilités avant que nous ayons eu la possibilité d'y remédier.
Dernière mise à jour : avril 2026 · yardtwin.com