Centre de confiance et de sécurité ArtinLeap

ArtinLeap s'engage à respecter les normes les plus strictes en matière de sécurité, de confidentialité et de transparence. En tant que plateforme d'IA agentique, nous reconnaissons notre responsabilité dans le traitement des données sensibles dans les écosystèmes Google, Microsoft, Atlassian, Slack, Notion et autres. Notre posture de sécurité est continuellement auditée et surveillée par Sécurité du TAC et Sécurité de l'aïkido.

I. Feuille de route de conformité et de validation

Nous maintenons une vision transparente de notre statut de conformité, classé en fonction des réalisations vérifiées et des flux de travail actifs.

1.1 Certifications obtenues

• Google CASA (approuvé au niveau 2) : Le Orchestrateurs l'application a passé avec succès l'évaluation de la sécurité des applications cloud (CASA) menée par TAC Security. Notre Cyber Score vérifié est 9,7/10.
• Protection standardisée des terminaux : Protection antivirus et antimalware de pointe via Bitdefender est déployé sur tous les postes de travail fournis par l'entreprise pour empêcher les mouvements latéraux et le vol d'informations d'identification.

1.2 Flux de travail actifs (en cours)

• Préparation à la loi sur l'IA de l'UE (priorité élevée) : Nous mettons actuellement en œuvre le cadre de gouvernance requis pour les systèmes d'IA à haut risque dans le cadre de l'AIA (articles 9, 10 et 11). Cela comprend un système de gestion des risques officiel et une documentation technique pour la traçabilité.
• Conformité au RGPD : Actuellement Conforme à 97 %, audité par Aikido Security. Nous respectons strictement l'article 2.1 (Principes du traitement) et l'article 4.9 (Sécurité du traitement).
• Préparation à la norme HIPAA : Actuellement Conforme à 91 %. Nous avons mis en œuvre la majorité des mesures de protection administratives, techniques et physiques requises pour le traitement des informations de santé protégées (PHI).
• État de préparation du SOC 2 de type I : Les contrôles internes sont finalisés et font l'objet d'un suivi, actuellement à Achèvement à 89 %. L'attestation de type II est prévue pour le premier trimestre 2026.

1.3 Feuille de route future

• Certification ISO 27001 : Une analyse formelle des lacunes et une certification sont prévues pour 3E TRIMESTRE 2026.

1.4 Demande de rapports

• Des rapports de conformité formels (rapports SOC 2, HIPAA ou CASA) sont disponibles pour les entreprises clientes dans le cadre de la NDA. Veuillez adresser vos demandes à : info@artinleap.com

II. Sécurité des données et normes cryptographiques

2.1 Résidence et infrastructure des données

• Emplacement du calcul : Notre application utilise une plate-forme cloud distribuée hautement sécurisée avec des ressources de calcul situées dans France, Europe.
• Lieu de stockage : Toutes les données persistantes des clients sont stockées dans Allemagne, Europe.
• Sécurité physique : Nous exploitons une architecture 100 % cloud native et ne gérons pas de serveurs physiques ni de centres de données sur site.
• Contrôle de l'accès au réseau : Des règles complètes de segmentation du réseau et de pare-feu sont constamment appliquées pour restreindre l'accès à la base de données aux seuls services autorisés, empêchant ainsi tout accès à distance non autorisé.

2.2 Protocoles de chiffrement

• En transit : Toutes les données circulant entre les utilisateurs, les agents et les services intégrés sont cryptées à l'aide de TLS 1.3 uniquement.
• Au repos : Les bases de données sont configurées avec Chiffrement AES-256 géré par KMS. Nous maintenons un cycle de mise à jour continu pour toutes les bibliothèques cryptographiques afin d'empêcher les attaques de « rétrogradation ».

III. Gouvernance de l'IA et chaîne d'approvisionnement logicielle

3.1 Confidentialité des données d'IA et garantie « sans formation »

• Politique de formation : Nous garantissons que les données des clients, les documents et le contenu des services intégrés ne sont PAS utilisés pour former ou améliorer nos agents sans le consentement explicite de l'utilisateur.
• Sécurité basée sur les API : Nous utilisons des points de terminaison d'API de niveau entreprise pour toutes les interactions LLM. En vertu de ces accords contractuels, il est interdit aux fournisseurs (OpenAI, Anthropic, etc.) d'utiliser les données pour la formation des modèles.

3.2 Orchestration de modèles dynamiques

Orkestrators utilise une stratégie indépendante du fournisseur pour fournir les meilleures capacités de raisonnement :

• Agnosticisme des fournisseurs de modèles : Nous intégrons les derniers modèles de fournisseurs de premier plan, notamment OpenAI (GPT), Anthropic (Claude), Google (Gemini), Amazon (Nova), XiAI (Grok), Mistral et NVIDIA (Llama/Nemotron).
• Logique de sélection dynamique : Les tâches sont acheminées entre les niveaux « Ultra/Pro » (pour des raisons complexes) et les niveaux « Flash/Lite » (pour des raisons de rapidité et d'efficacité).
• Passerelle sécurisée : Nous utilisons Routeur ouvert en tant que passerelle de gestion sécurisée. Cela nous permet d'intégrer de nouveaux modèles immédiatement sans compromettre la sécurité.

3.3 Chaîne d'approvisionnement logicielle (DevSecOps)

• Détection des vulnérabilités : Nous utilisons Snyk pour une analyse continue de la composition logicielle (SCA). Toutes les dépendances et bibliothèques tierces sont analysées pour détecter les vulnérabilités avant d'être mises en production.
• Surveillance unifiée des risques : Sécurité de l'aïkido fournit un tableau de bord unifié pour surveiller les risques liés à notre code, à notre infrastructure cloud et à nos secrets.

IV. Contrôle de l'identité, de l'accès et du périmètre

Nous mettons en œuvre une architecture inspirée du « Zero Trust » pour garantir que seuls le personnel et les processus autorisés peuvent interagir avec les données sensibles.

4.1 Contrôle d'accès et autorisation

• Le principe d'autorisation : Le Orchestrateurs l'agent accède toujours aux données des utilisateurs en en suivant strictement le processus d'autorisation et les autorisations d'accès définies par les services intégrés (Google, Microsoft, Atlassian, Slack).
• Minimisation de la portée (moindre privilège) : Nous sommes actuellement 96 % de conformité aux contrôles d'accès logique. Nous demandons uniquement les étendues OAuth minimales requises pour la tâche spécifique que l'utilisateur a autorisée.
• Accès juste à temps (JIT) : Nous mettons en œuvre Accès JIT pour nos environnements de production. Aucun employé ne dispose d'un accès administratif permanent ; les privilèges ne sont accordés que lorsque cela est nécessaire pour des tâches de maintenance spécifiques et enregistrées.

4.2 Authentification et sécurité des postes de travail

• Authentification de l'utilisateur : Géré via Auteur 0, en appliquant le hachage sécurisé des mots de passe salés et l'authentification multifactorielle (MFA) pour tous les utilisateurs.
• Comptes privilégiés : Les comptes administratifs internes sont sécurisés via MFA avec support matériel (Fido2/YubiKey).
• Isolation SDLC : Nous appliquons strictement la séparation environnementale. Les environnements de développement, de test et de production sont isolés (SOC 2 CC6.1) pour éviter toute « dérive de configuration » et garantir que les données clients en direct ne soient jamais utilisées pour les tests.

V. Périmètres d'intégration détaillés (OAuth)

Dans un souci de transparence totale pour les administrateurs informatiques, nous divulguons les périmètres standard demandés pour nos intégrations principales. Ces autorisations permettent à l'agent de lire, de créer et de modifier le contenu selon les instructions de l'utilisateur.

‍Politique d'intégrité des données : Notre agent vous soutient Lire, créer et modifier opérations. Nous appliquons strictement une Pas de suppression matérielle politique ; toute tâche de suppression est traitée comme une « suppression logicielle » (par exemple, passage au statut « Corbeille » ou « Archivé ») dans le service source afin de garantir la restauration des données.

5.1 Intégration à Google (Drive, Agenda, Gmail)

• Accès à la lecture : conduire, calendar. lecture seule, gmail.readonly
• Écrire et modifier : calendar.events, gmail.envoyer, gmail.modifier, gmail.compose
• Configuration : gmail.settings.basic
• Objectif : Permet à l'agent de gérer les plannings, de rédiger/envoyer des communications et d'organiser les fichiers dans Google Workspace.

5.2 Intégration à Microsoft (Outlook, calendrier, OneDrive/SharePoint)

• Gestion des e-mails et des dossiers : Courrier. Lecture/Écrire, Courrier. Envoyer, Dossier de boîte aux lettres. Lecture/Écrire, Paramètres de la boîte aux lettres. Lecture/Écrire
• Opérations du calendrier : Calendriers. Lecture/Écrire, Paramètres de la boîte aux lettres. Lire
• Orchestration de fichiers et de sites : Fichiers.ReadWriter.all, Sites. Créer. Tout, Sites. Tout lire (Couvre les environnements OneDrive et SharePoint).
• Objectif : Permet à l'agent d'agir en tant qu'assistant de productivité complet au sein de l'écosystème Microsoft 365.

5.3 Intégration d'Atlassian (Jira et Confluence)

• Gestion de projet Jira : lire:jira-work, écrire : jira-work, gérer:jira-project, gérer:jira-configuration, lire:epic:jira-software
• Gestion des connaissances Confluence : write:confluence-content, lire : confluence-content.summary, recherche : confluence, write:confluence-file, gérer:configuration de confluence
• Identité et accès hors ligne : lis : moi, accès_hors ligne
• Objectif : Permet à l'agent d'automatiser les flux de gestion des tickets, de gérer les configurations des projets et de gérer la documentation Confluence.

5.4 Intégration à Slack

• Contexte de la conversation : chaînes : histoire, groupes : histoire, im : histoire, mpim : histoire
• Utilisateur et recherche : utilisateurs:lire, recherche:lire, chaînes : lire
• Messagerie et interaction : chat:écrire, im : écrire, mpim : écrire
• Objectif : Facilite la récupération approfondie du contexte des conversations Slack et permet à l'agent d'interagir avec les membres de l'équipe ou des groupes privés.

VI. Réponse aux incidents et signalement

Nous maintenons un plan de réponse aux incidents rigoureux conçu pour minimiser l'impact et assurer une communication rapide.6.1 Canaux de signalement (ordre de priorité)

1. Canal principal (tickets d'assistance) : Pour une résolution et un suivi les plus rapides, tous les utilisateurs doivent Ouvrez un ticket d'assistance dans notre système de gestion des services.
2. Demandes de sécurité et de conformité : Pour des examens de sécurité officiels, des rapports de vulnérabilité ou des questions de conformité, contactez : info@artinleap.com
3. Support secondaire : L'assistance technique générale peut être adressée à : support@artinleap.com

6.2 Engagements

• Notification accélérée des violations : En cas de violation de données confirmée, ArtinLeap s'engage à informer les clients concernés et les autorités réglementaires compétentes au 24 heures.
• Contact de sécurité 24h/24 et 7j/7 : Un répondeur de sécurité dédié est disponible via le portail de notre centre de service pour les incidents critiques actifs.
• Politique de divulgation des vulnérabilités (VDP) : Nous maintenons un VDP public afin d'encourager la communauté des chercheurs à signaler de manière responsable les failles de sécurité.

VII. Cadre juridique et de gouvernance

• Principaux sous-processeurs : Nous maintenons une liste de sous-traitants conformes à la loi, y compris notre fournisseur de cloud computing et de stockage (situé dans l'UE), Auth0 (Identity), OpenRouter (Model Routing) et Snyk (Security Scanning).
• Loi applicable : Les services destinés aux utilisateurs de l'UE/internationaux sont régis par le droit français. Les services destinés aux utilisateurs américains sont régis par la loi du Delaware.
• Présence de l'entreprise : ArtinLeap est une SAS française dont le siège social est situé à Valbonne (Sophia Antipolis). Afin de mieux servir nos partenaires nord-américains, nous disposons d'un bureau d'affaires américain dédié à Mountain View, Californie.
• Accès à la documentation : Accédez à notre intégralité Documentation du guide de l'utilisateur et des manuels techniques via notre portail.
• Politiques : Politique de confidentialité | Termes et conditions