Sécurité technique — conformité, sous-traitants, audit
Documentation technique pour le RSSI, la direction des achats et les commissaires aux comptes. Tout est daté ; les engagements futurs portent une cible trimestrielle. Les documents de revue RGPD, le DPA et la roadmap SOC 2 sont centralisés. Pour une vue commerciale « pourquoi nous faire confiance », voir /trust.
L'application et l'API tournent sur Cloudflare Workers (OpenNext) ; Supabase pour les données métier.
L'estimation utilise les comptes de tokens. Le texte des conversations ne traverse jamais nos systèmes.
Les clés API sont hachées, les webhooks peuvent être signés, et la méthodologie de calcul reste publique et reproductible.
Documents techniques et DPA pour accélérer votre analyse interne, sans remplacer votre validation juridique.
Hébergement & cohérence carbone
L'application carbon-llm tourne sur Cloudflare Workers (déploiement via OpenNext) plus une base Supabase. Cloudflare se déclare net-zéro Scope 1+2 depuis 2022 — pertinent pour la cohérence du discours d'une plateforme qui mesure le carbone IA. Cela ne remplace pas votre propre déclaration Scope 3 (l'hébergement de carbon-llm relève de notreScope 1+2, pas du vôtre), mais cela évite l'ironie d'une application climat hébergée sur une infrastructure carbonée.
Mesures techniques en place
- Estimation sans prompt.
POST /api/v1/estimate,/batch-estimateet/trackn'acceptent que des nombres (modèle, tokens, tenant_id). Aucun corps de prompt requis ni stocké. - Clés API hachées (HMAC-SHA256).Les clés ISV (test & live) ne sont jamais persistées en clair ; recherche par hash.
- Log d'activité immuable. Table
account_activity_loginsert-only ; visible depuis /dashboard/security pour l'administrateur du compte. - Méthodologie reproductible. Nos coefficients sont publics et datés (
method_version) : vous pouvez recalculer nos estimations à partir du CSV des événements — voir /methodology/standards. - Connecteurs fournisseurs chiffrés at-rest. Les clés API OpenAI / Anthropic / Mistral / Azure / Vertex sont chiffrées avec
pgp_sym_encryptavec une clé serveur séparée (jamais en clair en base).
Sous-traitants (Article 28 RGPD)
Liste à jour des sous-traitants de carbon-llm. Modifications notifiées ≥ 30 jours à l'avance via cette page et par e-mail aux comptes Pro. Voir aussi /legal/dpa et /security/subprocessors (page archivée pour historique).
| Sous-traitant | Rôle | Région | DPA | Mis à jour |
|---|---|---|---|---|
| Cloudflare Workers | Runtime de l'application (OpenNext) + CDN + DNS — hébergement de toutes les routes carbon-llm.com et /api/v1 | Global anycast — colos EU servent en priorité ; données utilisateur stockées en EU (via Supabase) | DPA | 2026-01-15 |
| Supabase | Base PostgreSQL + Auth + stockage métier | EU (Frankfurt) — projet pinned | DPA | 2026-01-15 |
| Resend | Envoi e-mail transactionnel (rapports, invitations) | EU (Frankfurt) | DPA | 2026-01-15 |
| Stripe | Paiement et facturation Pro | EU (Ireland) | DPA | 2026-01-15 |
Roadmap SOC 2 Type II
SOC 2 Type II n'est pas encore certifié : nous sommes une équipe early stage qui construit les contrôles en parallèle du produit. Voici l'état honnête, daté. Les organisations en accès anticipé peuvent demander un brief de sécurité personnalisé sous NDA.
| Contrôle | Statut | Cible |
|---|---|---|
| Chiffrement TLS 1.3 sur toutes les routes API & dashboard | En place | — |
| Chiffrement at-rest des secrets (clés providers, audit_signing_key) | En place | — |
| Hashing API keys (HMAC-SHA256, jamais de plaintext en DB) | En place | — |
| Log d'activité immuable (account_activity_log, append-only) | En place | — |
| MFA obligatoire pour les administrateurs | En cours | 2026-Q3 |
| Pen-test annuel par tiers indépendant | Planifié | 2026-Q4 |
| Engagement officiel SOC 2 Type II (auditeur sélectionné) | Planifié | 2027-Q1 |
| Certification SOC 2 Type II effective | Planifié | 2027-Q4 |
| ISO 27001 — étude de faisabilité | Planifié | 2028-Q1 |
Énoncé de reproductibilité
Le dashboard expose la période, les modèles, les coefficients utilisés et la version de méthodologie. Un commissaire aux comptes peut prendre le CSV des événements + la table de coefficients à la version verrouillée et relancer le calcul pour comparer les totaux. C'est une base de discussion pour une assurance limitée ISAE 3000, pas une signature de tiers. Voir /methodology/standards.
Documents juridiques
- Politique de confidentialité (Privacy)
- Accord de traitement des données (DPA — Article 28 RGPD)
- CGU
- Support DPIA — disponible sur demande pendant la phase d'accès anticipé
- Page de statut & uptime 90 jours
Questions ? Nous contacter · Sources · Crosswalk standards · Tokens côté demande