La sécurité par défaut, pas en option
AbsiPoint manipule des données sensibles : présences, identités, paie. Voici les garanties que nous vous donnons à chaque étape — pas la liste des outils internes, mais les engagements que nous tenons.
Piliers de sécurité
Chiffrement permanent
Vos données sensibles (identifiants, mots de passe, données de paie) sont chiffrées au repos. Toutes les communications avec nos serveurs sont chiffrées en transit, sans exception.
Mots de passe protégés
Les mots de passe sont stockés sous forme hashée par un algorithme moderne, conçu pour résister aux attaques par force brute, même avec du matériel spécialisé. Ils ne peuvent pas être lus, même par notre équipe.
Authentification à deux facteurs
La double authentification est disponible pour tous les comptes. Activation en deux clics depuis vos paramètres. Recommandée pour tout compte administrateur.
Isolation stricte des données
Vos données sont cloisonnées par défaut. Aucune donnée d'une organisation n'est accessible à une autre. Cette isolation est validée par des tests automatisés à chaque mise en production.
Audit complet
Chaque action sensible (changement de statut, accès aux données, export, modification de plan) est tracée dans un journal infalsifiable. Consultable par les administrateurs avec horodatage.
Hébergement au Sénégal
Données et infrastructure hébergées au Sénégal. Aucun transfert vers un pays tiers sans information préalable. Conformité loi 2008-12 (CDP).
Défense en profondeur
Quatre couches indépendantes — un attaquant doit toutes les franchir, pas une seule.
Réseau
Toutes les requêtes passent par un filtrage applicatif et un protocole de chiffrement obligatoire. Les tentatives répétées sont automatiquement bloquées.
Application
Authentification stricte, validation systématique des entrées, contrôles croisés sur chaque action sensible. Aucune action n'est exécutée sans vérification d'identité et de droits.
Données
Les bases de données appliquent des règles d'isolation strictes par organisation. Les secrets sont chiffrés au niveau colonne. Aucune requête ne peut traverser le cloisonnement.
Observabilité
Des journaux structurés et un audit infalsifiable enregistrent chaque accès. Des alertes temps réel se déclenchent sur tout comportement anormal (échecs de connexion en rafale, accès inhabituels).
Garanties anti-fraude pointage
Six garde-fous qui rendent un pointage frauduleux pratiquement impossible.
QR rotatif anti-fraude
Le code QR change automatiquement à intervalles courts. Un code capturé en photo devient invalide rapidement, ce qui rend impossible le pointage à distance ou par procuration.
Anti-rejeu
Un même code de pointage ne peut jamais être réutilisé. Chaque session est validée par notre serveur, qui rejette toute tentative de duplication.
Géolocalisation vérifiée
La distance entre l'employé et le site est validée côté serveur — pas par l'application mobile, qui pourrait être manipulée. Une position GPS truquée est immédiatement rejetée.
Photo anti-fraude
En option : la prise de pointage déclenche une photo horodatée et géolocalisée. Aucun pointage par un tiers n'est plus possible.
Sessions courtes
Les sessions actives sont régulièrement renouvelées. Un appareil oublié ou volé n'expose pas votre compte indéfiniment.
Sauvegardes chiffrées
Vos données sont sauvegardées chaque jour, en chiffré, avec une rétention de 30 jours. Les procédures de restauration sont testées chaque mois pour garantir leur fiabilité.
Conformité réglementaire
Adapté au cadre légal sénégalais, aligné sur les meilleures pratiques internationales.
Loi 2008-12 (CDP)
Conforme à la loi sénégalaise sur la protection des données personnelles. Démarches CDP en cours pour les traitements concernés.
Privacy by design
Minimisation des données : nous ne collectons que ce qui est strictement nécessaire au pointage. Aucun suivi en dehors des heures de travail.
Droits des personnes
Accès, rectification, suppression : un employé peut exercer ses droits via son administrateur ou directement par email. Réponse sous 30 jours.
Continuité de service
Un incident ne doit jamais signifier la perte de vos données. Voici nos engagements chiffrés.
Disponibilité
99,9 %
Engagement sur le palier Business · 8h45/mois maximum d'indisponibilité
Reprise après incident
< 1 h
Délai maximum de remise en service après un incident majeur
Perte de données
< 15 min
Volume maximum de données potentiellement non répliquées
Sauvegardes
J+30
Quotidiennes, chiffrées, restauration testée chaque mois
Politiques opérationnelles
La technique seule ne suffit pas — voici les pratiques qui encadrent l'équipe.
- Principe du moindre privilège — chaque accès administrateur est nominatif, jamais partagé
- Revues de sécurité régulières (revue de code, audit des composants, tests d'intrusion)
- Veille permanente sur les composants tiers : mises à jour de sécurité appliquées sans délai
- Formation sécurité annuelle pour toute l'équipe technique
- Aucun accès en production sans double authentification et journalisation systématique
- Environnements de pré-production isolés, données anonymisées — jamais de copie de production en clair
Signaler une vulnérabilité
Vous avez identifié une faille ? Contactez-nous immédiatement à contact@absitech.dev. Nous nous engageons à répondre sous 48 h ouvrées et à ne jamais poursuivre une déclaration faite de bonne foi (responsible disclosure). Une page de remerciement publique est tenue pour les contributions significatives.