Sécurité chez Kiavi
Comment nous protégeons vos utilisateurs et vos données, en termes simples.
Vos données restent dans l'UE
Les instances d'authentification, les bases de données et les clés de signature sont hébergées sur Scaleway à Paris (fr-par). Les ressources statiques sont servies par Bunny CDN via des emplacements edge dans l'UE. Nous ne dépendons pas des fournisseurs de cloud Big Tech, et les données de vos utilisateurs ne quittent pas l'Union européenne. D'autres régions de l'UE sont prévues dans la feuille de route de déploiement.
Une véritable isolation par tenant, pas une table utilisateurs partagée
Chaque application client dispose de son propre point de terminaison d'authentification dédié, de sa propre base de données PostgreSQL dédiée sur Scaleway, et de son propre secret de signature JWT stocké dans un Scaleway Secret par tenant. Il n'y a pas de table utilisateurs partagée, pas de clé de signature partagée, et aucun chemin de requête inter-tenant. Une compromission chez un tenant ne peut pas en atteindre un autre.
Sans mot de passe par défaut
Kiavi privilégie les passkeys, avec en complément les codes à usage unique par e-mail et la connexion sociale OAuth. La connexion par mot de passe est désactivée : nous ne stockons, ne hachons et n'acceptons pas de mots de passe. Le résultat : moins de surfaces de phishing, pas de processus de réinitialisation de mot de passe, et une expérience de connexion plus rapide que les alternatives héritées.
Chiffrement en transit et au repos
Tout le trafic est servi via TLS, imposé à l'edge par notre CDN. Les bases de données fonctionnent sur Scaleway avec le chiffrement au repos activé, et les secrets de signature par tenant résident dans Scaleway Secret Manager, jamais en clair dans des variables d'environnement et jamais codés en dur dans notre code applicatif.
Construit sur un cœur open source éprouvé
Notre moteur d'authentification est Better Auth, une bibliothèque open source largement utilisée que vous pouvez auditer, forker et héberger vous-même si besoin. Nous ajoutons la couche opérationnelle que la plupart des équipes construisent elles-mêmes : un déploiement managé par tenant, une interface de gestion des utilisateurs, des tableaux de bord des utilisateurs actifs quotidiens et mensuels, et un journal d'audit structuré. Open source là où ça compte ; managé là où ça doit l'être.
Journal d'audit complet de chaque événement d'authentification
Les connexions, déconnexions, enregistrements de passkeys, connexions OAuth, actions d'administration et tentatives de connexion échouées sont tous écrits dans un journal d'audit structuré avec le contexte IP et user-agent. Vous pouvez consulter l'activité dans l'interface de gestion, suivre les tendances DAU et MAU en temps réel, et répondre aux exigences de collecte de preuves de votre propre programme de conformité.
Limitation de débit et protection contre les abus
Les points de terminaison d'authentification publics font l'objet d'une limitation de débit par identifiant et par IP afin d'empêcher le credential stuffing et les tentatives de force brute d'aboutir. Les clés d'API émises par votre tenant sont limitées indépendamment afin qu'une intégration bruyante ne puisse pas affecter les connexions des utilisateurs finaux.
Réponse aux incidents et notification de violation
En cas d'incident de sécurité affectant votre tenant, nous vous en informons conformément à l'article 33 du RGPD, dans les 72 heures suivant notre prise de connaissance, en indiquant la portée, les catégories de données concernées et les mesures correctives prises. Nos procédures internes de réponse sont en cours de formalisation dans un playbook publié, dans le cadre de notre feuille de route de conformité.
Conformité et certifications
Kiavi est conforme au RGPD dès la conception. Nous signons un accord de traitement des données par défaut avec chaque client et publions notre liste complète de sous-traitants. Nous sommes au début de notre démarche formelle de certification pour ISO 27001 et SOC 2 Type II. Tant que ces certificats ne sont pas délivrés, nous ne les revendiquons pas ; les contrôles correspondants sont toutefois déjà en place.
Signaler une vulnérabilité
Vous avez trouvé un problème de sécurité ? Écrivez à security@kiavi.eu. N'ouvrez pas d'issue GitHub publique. Nous répondons sous un jour ouvré.