Les véritables contrôles qui protègent vos documents.

Chiffrement AES-256 au repos

Les documents téléchargés sont écrits sur MinIO avec le chiffrement côté serveur SSE-S3 par défaut. En production (Railway), MinIO est exécuté avec KMS activé, de sorte que SSE-S3 est toujours appliqué. Dans les déploiements auto-hébergés non pris en charge sans KMS, MinIO peut revenir à des écritures non chiffrées — il s'agit d'un choix de déploiement, pas d'une rétrogradation silencieuse en production.

backend/app/services/storage_service.py · upload_file()

TLS 1.2+ en transit

Chaque saut réseau — du navigateur à la périphérie Vercel, de la périphérie au backend Railway, du backend aux fournisseurs de LLM — utilise TLS. HSTS avec max-age=63072000 et includeSubDomains est défini sur le domaine apex.

Aucun entraînement sur vos données

DocTalk achemine les appels LLM via OpenRouter. Vos documents et questions ne sont jamais utilisés par DocTalk pour entraîner des modèles. La rétention côté fournisseur dépend du modèle en amont (DeepSeek / Mistral) — pour une rétention nulle garantie, nous nous appuyons sur le paramètre de confidentialité au niveau du compte d'OpenRouter (contrôle opérationnel, pas encore appliqué par code au niveau de la requête), et pouvons renforcer davantage avec une liste blanche de fournisseurs sur demande.

Validation de fichier par octets magiques

Les téléchargements sont validés par rapport aux octets de signature de fichier, pas aux extensions de fichier. Un .pdf contenant une charge exécutable est rejeté à l'ingestion — vous ne pouvez pas tromper l'analyseur en renommant un fichier.

backend/app/services/upload_service.py · magic-byte check

Protection SSRF lors de l'ingestion d'URL

Lorsque vous déposez une URL à résumer, le backend valide la cible par rapport à une liste blanche d'hôtes publics et rejette toute requête vers des plages d'IP privées, des adresses lien-local ou des points de terminaison de métadonnées cloud (169.254.169.254, etc).

backend/app/core/url_validator.py

Limitation de débit sur les points de terminaison anonymes

Les points de terminaison publics (vues partagées, lectures anonymes) ont des limites de débit par IP. L'IP réelle du client est transmise de la périphérie Vercel à notre backend avec une signature HMAC-SHA256 liée à un horodatage par requête, de sorte que le backend peut authentifier l'origine du proxy et rejeter les tentatives d'usurpation d'en-tête. Ce n'est pas une défense contre une attaque MITM active au niveau du câble — TLS gère cette couche. Les utilisateurs authentifiés contournent la limitation de débit par IP.

backend/app/core/rate_limit.py · shared_view_limiter, anon_read_limiter

Export complet des données

Depuis votre Profil → Compte, vous pouvez exporter tous vos documents et données de session. L'export comprend tout ce que DocTalk stocke à votre sujet, dans des formats portables.

Suppression de compte

Vous pouvez supprimer votre compte depuis Profil → Compte. Tous les documents, sessions, historique de chat, embeddings et enregistrements de facturation sont supprimés ; le compte n'est pas récupérable après suppression.

Isolation des utilisateurs

Chaque document et session est limité à l'ID utilisateur de son propriétaire au niveau de la base de données et du magasin de vecteurs. Il n'y a pas d'espace de noms partagé, pas de collection à l'échelle de l'organisation par défaut, et l'isolation est appliquée au moment de la requête — pas seulement au moment du rendu.