SOC 2 Type II · Tests d'intrusion annuels

Le CV est le vôtre. Nous agissons en conséquence.

Chiffré au repos et en transit, protégé par authentification forte, et audité chaque année par un cabinet externe. Voici les preuves.

SOC 2
SOC 2 Type II
A-LIGN · TYPE II
RECERTIFIÉ EN MARS 2026
GDPR
Conforme au RGPD
UE + Royaume-Uni · Aligné sur l'ICO
DPA DISPONIBLE
CCPA
CCPA / CPRA
Résidents de Californie
DROITS RESPECTÉS
PEN
Test d'intrusion annuel
NCC Group · CREST
DERNIER AUDIT EN FÉVRIER 2026
Ce que nous faisons

Les pratiques, en clair.

🔒

Chiffrement partout.

Tout ce que vous saisissez dans BeauCV est chiffré avec AES-256 au repos dans nos bases de données et TLS 1.3 en transit. Nos sauvegardes de base de données sont également chiffrées avec des clés distinctes, renouvelées chaque trimestre.

au repos AES-256-GCM (AWS KMS)
en transit TLS 1.3, HSTS, HPKP
sauvegardes Chiffrés, clés séparées, RPO de 7 jours

Accès par clé matérielle.

Aucun mot de passe ne suffit à approcher la production. Chaque ingénieur BeauCV s'authentifie avec une clé de sécurité matérielle. L'accès est restreint par rôle, journalisé et examiné chaque mois.

mfa Matériel (YubiKey FIDO2)
accès SSO + accès basé sur les rôles, revu chaque mois
audit Chaque requête de production enregistrée
🚫

Votre CV n'entraîne aucun système externe.

Votre texte est envoyé à un prestataire de réécriture avec une configuration sans conservation : supprimé sous 30 jours, jamais utilisé pour l'entraînement.

fournisseurs Provider One, Provider Two
rétention Zéro (côté fournisseur)
formation Interdit par contrat

Résidence des données que vous choisissez.

Lors de votre inscription, vous choisissez la région dans laquelle se trouvent vos données : eu-west-1 (Irlande) ou us-east-1 (Virginie). Vos données n'en sortent jamais.

région ue Irlande (Dublin)
région us N. Virginia (Ashburn)
transit Pas de réplication inter-régions
🧯

Reprise après incident.

Des exercices réels de reprise après sinistre, chaque trimestre. Nous restaurons une base de données de production complète dans un environnement de test, puis exécutons la suite de tests de bout en bout. Notre dernière mesure RTO était de 38 minutes.

sauvegardes En continu, restauration à un instant T, 35 jours
rpo ≤ 5 minutes
rto ≤ 1 heure (dernière mesure : 38 min)

Supprimer signifie supprimer.

Lorsque vous supprimez un CV ou votre compte, il disparaît immédiatement des bases de données actives et de chaque sauvegarde dans les 30 jours. Nous ne conservons que le strict minimum requis pour les dossiers fiscaux.

primaire Purge immédiate
sauvegardes Dans les 30 jours
données fiscales 7 ans · logiquement isolé
Sous-traitants

Tous les fournisseurs qui accèdent à vos données sont répertoriés.

Nous donnons un préavis de 30 jours avant d'ajouter un nouveau sous-traitant. Vous pouvez vous y opposer avant son entrée en vigueur.

Fournisseur
Objectif
Région
DPA
AWS
Hébergement, stockage, sauvegardes
eu-west-1, us-east-1
✓ signé
Stripe
Traitement des paiements
UE + US
✓ signé
Provider One
Traitement de réécriture (zéro rétention)
US
✓ signé
Provider Two
Traitement de réécriture (zéro rétention)
États-Unis, miroir de l'UE
✓ signé
Postmark
E-mail transactionnel
US
✓ signé
Plain
Support client
UE (Irlande)
✓ signé
Plausible
Analyses sans cookies
UE (Allemagne)
✓ signé
Bug bounty

Une faille ? Nous payons.

Divulgation responsable à security@beaucv.fr. Nous répondons dans les 48 heures et publions le crédit du chercheur (avec autorisation) dans notre journal de sécurité.

CRITIQUE
$10,000+
RCE, contournement d'authentification, exposition de données en masse.
ÉLEVÉ
$2,500
SQLi, XSS stocké dans l'éditeur, élévation de privilèges.
MOYEN
$750
XSS, CSRF réfléchis sur les points de terminaison sensibles.
FAIBLE
$150
Divulgation d'informations, en-têtes manquants.
Signalement responsable

Signaler une vulnérabilité.

Envoyer un rapport détaillé à security@beaucv.fr. Chiffrement PGP disponible. Nous accusons réception sous 24 h, qualifions sous 48 h et payons sous 14 jours après validation.

$ gpg --recv-keys 0xA4F31D87
gpg: clé A4F31D87 importée
gpg : empreinte digitale : F8 3A 22 91 0C BD 9E 5C
A4 F3 1D 87 B6 22 4E 09
$ gpg --encrypt --recipient security@beaucv.fr report.txt
→ report.txt.gpg prêt à envoyer
$ _