Sécurité & conformité

La sécurité par défaut, pas en option

AbsiPoint manipule des données sensibles : présences, identités, paie. Voici les garanties que nous vous donnons à chaque étape — pas la liste des outils internes, mais les engagements que nous tenons.

Piliers de sécurité

Chiffrement permanent

Vos données sensibles (identifiants, mots de passe, données de paie) sont chiffrées au repos. Toutes les communications avec nos serveurs sont chiffrées en transit, sans exception.

Mots de passe protégés

Les mots de passe sont stockés sous forme hashée par un algorithme moderne, conçu pour résister aux attaques par force brute, même avec du matériel spécialisé. Ils ne peuvent pas être lus, même par notre équipe.

Authentification à deux facteurs

La double authentification est disponible pour tous les comptes. Activation en deux clics depuis vos paramètres. Recommandée pour tout compte administrateur.

Isolation stricte des données

Vos données sont cloisonnées par défaut. Aucune donnée d'une organisation n'est accessible à une autre. Cette isolation est validée par des tests automatisés à chaque mise en production.

Audit complet

Chaque action sensible (changement de statut, accès aux données, export, modification de plan) est tracée dans un journal infalsifiable. Consultable par les administrateurs avec horodatage.

Hébergement au Sénégal

Données et infrastructure hébergées au Sénégal. Aucun transfert vers un pays tiers sans information préalable. Conformité loi 2008-12 (CDP).

Défense en profondeur

Quatre couches indépendantes — un attaquant doit toutes les franchir, pas une seule.

01

Réseau

Toutes les requêtes passent par un filtrage applicatif et un protocole de chiffrement obligatoire. Les tentatives répétées sont automatiquement bloquées.

02

Application

Authentification stricte, validation systématique des entrées, contrôles croisés sur chaque action sensible. Aucune action n'est exécutée sans vérification d'identité et de droits.

03

Données

Les bases de données appliquent des règles d'isolation strictes par organisation. Les secrets sont chiffrés au niveau colonne. Aucune requête ne peut traverser le cloisonnement.

04

Observabilité

Des journaux structurés et un audit infalsifiable enregistrent chaque accès. Des alertes temps réel se déclenchent sur tout comportement anormal (échecs de connexion en rafale, accès inhabituels).

Garanties anti-fraude pointage

Six garde-fous qui rendent un pointage frauduleux pratiquement impossible.

  • QR rotatif anti-fraude

    Le code QR change automatiquement à intervalles courts. Un code capturé en photo devient invalide rapidement, ce qui rend impossible le pointage à distance ou par procuration.

  • Anti-rejeu

    Un même code de pointage ne peut jamais être réutilisé. Chaque session est validée par notre serveur, qui rejette toute tentative de duplication.

  • Géolocalisation vérifiée

    La distance entre l'employé et le site est validée côté serveur — pas par l'application mobile, qui pourrait être manipulée. Une position GPS truquée est immédiatement rejetée.

  • Photo anti-fraude

    En option : la prise de pointage déclenche une photo horodatée et géolocalisée. Aucun pointage par un tiers n'est plus possible.

  • Sessions courtes

    Les sessions actives sont régulièrement renouvelées. Un appareil oublié ou volé n'expose pas votre compte indéfiniment.

  • Sauvegardes chiffrées

    Vos données sont sauvegardées chaque jour, en chiffré, avec une rétention de 30 jours. Les procédures de restauration sont testées chaque mois pour garantir leur fiabilité.

Conformité réglementaire

Adapté au cadre légal sénégalais, aligné sur les meilleures pratiques internationales.

Loi 2008-12 (CDP)

Conforme à la loi sénégalaise sur la protection des données personnelles. Démarches CDP en cours pour les traitements concernés.

Privacy by design

Minimisation des données : nous ne collectons que ce qui est strictement nécessaire au pointage. Aucun suivi en dehors des heures de travail.

Droits des personnes

Accès, rectification, suppression : un employé peut exercer ses droits via son administrateur ou directement par email. Réponse sous 30 jours.

Continuité de service

Un incident ne doit jamais signifier la perte de vos données. Voici nos engagements chiffrés.

Disponibilité

99,9 %

Engagement sur le palier Business · 8h45/mois maximum d'indisponibilité

Reprise après incident

< 1 h

Délai maximum de remise en service après un incident majeur

Perte de données

< 15 min

Volume maximum de données potentiellement non répliquées

Sauvegardes

J+30

Quotidiennes, chiffrées, restauration testée chaque mois

Politiques opérationnelles

La technique seule ne suffit pas — voici les pratiques qui encadrent l'équipe.

  • Principe du moindre privilège — chaque accès administrateur est nominatif, jamais partagé
  • Revues de sécurité régulières (revue de code, audit des composants, tests d'intrusion)
  • Veille permanente sur les composants tiers : mises à jour de sécurité appliquées sans délai
  • Formation sécurité annuelle pour toute l'équipe technique
  • Aucun accès en production sans double authentification et journalisation systématique
  • Environnements de pré-production isolés, données anonymisées — jamais de copie de production en clair

Signaler une vulnérabilité

Vous avez identifié une faille ? Contactez-nous immédiatement à contact@absitech.dev. Nous nous engageons à répondre sous 48 h ouvrées et à ne jamais poursuivre une déclaration faite de bonne foi (responsible disclosure). Une page de remerciement publique est tenue pour les contributions significatives.