Politique de sécurité

Chiffrement des données

Toutes les communications entre votre navigateur et nos serveurs sont chiffrées en TLS 1.3. Les mots de passe sont hashés avec Argon2id. Les données au repos sont chiffrées sur nos serveurs.

Isolation des données

Chaque compte est isolé grâce à l'architecture multi-tenant avec Row-Level Security (RLS) sur PostgreSQL. Vos recettes et ingrédients ne sont accessibles que par vous.

Authentification

• Tokens JWT avec rotation automatique (access token 15 min, refresh token 7 jours)
• Protection contre le brute force avec rate limiting (5 tentatives / minute)
• Validation des mots de passe (minimum 8 caractères)

Conformité RGPD

Mix Control respecte le Règlement Général sur la Protection des Données (RGPD). Vos droits :

• Droit d'accès : exportez vos données à tout moment depuis les Paramètres
• Droit de rectification : modifiez votre profil et vos données librement
• Droit à l'effacement : supprimez votre compte avec un délai de grâce de 48h
• Droit à la portabilité : export en JSON ou CSV de toutes vos données

Sauvegardes

Les données sont sauvegardées quotidiennement avec rétention de 30 jours. Les serveurs sont hébergés en France (Paris) chez Hostinger.

Conformité EU Cyber Resilience Act

Mix Control s'engage à respecter le Cyber Resilience Act (CRA) de l'UE. Nous mettons en œuvre les mesures suivantes :

• Nomenclature logicielle (SBOM) : format CycloneDX généré pour chaque version, couvrant toutes les dépendances Rust et NPM
• Divulgation des vulnérabilités : les problèmes de sécurité sont signalés dans les 24h suivant leur découverte, avec calendrier de correction communiqué publiquement
• Mises à jour de sécurité : audit automatisé des dépendances avec cargo-audit et npm audit, les CVE critiques déclenchent des correctifs immédiats
• Passerelle agents IA : les endpoints MCP sont protégés par un filtrage applicatif contre l'injection de prompts et l'extraction de données