Sécurité

Sécurité et données

Une page claire, crédible et prudente : elle explique les protections visées sans inventer de certification ou de garantie absolue.

Approche générale

Tauto manipule des demandes clients, photos, prestations, devis, rendez-vous, paiements et factures. La sécurité doit donc être traitée comme une fonction produit essentielle.

Cette page décrit des mesures raisonnables et proportionnées. Elle ne constitue pas une certification, un audit externe ou une garantie absolue.

Accès professionnel et séparation des données

  • L'espace professionnel nécessite une authentification.
  • Les données métier sont rattachées à une entreprise ou à un périmètre professionnel.
  • Les pages publiques, tunnels clients et portails tokenisés sont séparés de l'espace pro.
  • Les accès, rôles, politiques RLS et contrôles serveur doivent être testés avant production commerciale.

Paiements

Tauto ne doit pas collecter directement les numéros de carte bancaire. Les paiements en ligne détectés dans le code s'appuient sur Stripe Checkout et Stripe Connect lorsque la configuration est active.

Stripe reste responsable de ses propres mécanismes de sécurité et de conformité paiement. Tauto ne prétend pas être certifié PCI comme organisme de paiement.

Liens client et documents

Les portails client et liens de réservation sont conçus pour donner accès aux informations utiles sans ouvrir l'espace professionnel.

Les liens doivent être testés contre les accès non autorisés, la réutilisation inattendue et les documents non destinés au client final.

Promesses publiques et preuves techniques

Promesse publiquePreuve techniqueStatutAction nécessaire
Données séparées par entrepriseUsage généralisé de business_id, espaces professionnels authentifiés et clients tokenisés.to_verifyFaire valider l'ensemble des politiques RLS et contrôles d'accès avant production.
Liens client contrôlésRoutes /client/[token] et /reserver/[token] avec noindex déjà prévues.to_verifyTester les liens signés/tokenisés de bout en bout avant lancement.
Paiements via Stripe si activésRoutes Stripe Connect, Checkout et webhooks détectées.okConfirmer les conditions Stripe, le compte actif et le modèle exact de charge avant commercialisation.
Pas de certification inventéeAucune certification ISO, HDS, PCI complète ou RGPD certifiée n'est affirmée.okConserver cette prudence tant qu'aucun audit ou certificat n'existe.

Ce que Tauto ne promet pas sans preuve

  • Pas de disponibilité 100 % garantie.
  • Pas de certification ISO, HDS, PCI complète ou RGPD certifiée sans certificat réel.
  • Pas d'hébergement exclusivement français ou européen tant que l'hébergeur et les régions ne sont pas confirmés.
  • Pas de chiffrement de bout en bout annoncé.
  • Pas de sauvegarde instantanée ou récupération sans perte garantie.
  • Pas d'audit permanent ou de conformité absolue revendiquée.

Incidents, support et contact

En cas d'incident de sécurité, Tauto doit investiguer, limiter l'impact, corriger la cause si possible et informer les clients professionnels concernés lorsque cela est nécessaire.

Contact sécurité/support : contact@tauto.fr.