Une sécurité et une conformité que vous pouvez vérifier
UniAuth repose sur des pratiques de sécurité vérifiables, des standards ouverts et un traitement transparent des données. Chaque affirmation de cette page correspond à une implémentation concrète.
État de conformité
État cadre par cadre. Auto-attesté signifie que nous implémentons les contrôles techniques ; certifié nécessite un rapport tiers lié.
GDPR
Auto-attestéData subject rights, DPA available, EU residency supported
CCPA
Auto-attestéCalifornia opt-out, data inventory, DSR support
SOC 2 Type II
En coursControls implemented; third-party audit not yet completed
FIPS 203 (ML-KEM)
Auto-attestéPost-quantum key encapsulation used for session keys
FIPS 204 (ML-DSA)
Auto-attestéPost-quantum digital signatures on every session
FIDO2 / WebAuthn
Auto-attestéPasskey and hardware key support with direct attestation
HIPAA
Non commencéNot yet evaluated
ISO 27001
Non commencéNot yet evaluated
Standards et protocoles de sécurité
Construit sur les standards du NIST, de l'IETF et de l'OASIS. Aucun verrouillage propriétaire.
FIPS 203 (ML-KEM)
Encapsulation de clés post-quantique pour l'échange et la rotation des clés
FIPS 204 (ML-DSA)
Signatures numériques post-quantiques sur chaque session utilisateur
FIDO2 / WebAuthn
Prise en charge des passkeys et des clés de sécurité matérielles avec attestation directe
OAuth 2.0 / OIDC
Serveur d'autorisation et fournisseur OpenID conformes aux standards
SAML 2.0
IdP complet avec SSO, SLO, assertions signées et métadonnées
SCIM 2.0
Provisionnement automatisé des utilisateurs et des groupes avec opérations en masse
Comment nous traitons vos données
Stockage des données
Toutes les données sont stockées dans PostgreSQL avec des connexions chiffrées par TLS. Les sauvegardes de la base de données sont chiffrées en AES-256 et stockées dans des emplacements géographiquement redondants. Aucune donnée n'est stockée dans des services d'analyse ou de suivi tiers.
Chiffrement
Chiffrement AES-256-GCM au repos pour toutes les valeurs sensibles : secrets TOTP, jetons OAuth, clés privées PQC, mots de passe LDAP. TLS 1.3 pour les données en transit. Clé de chiffrement de 256 bits distincte, indépendante des secrets de signature JWT.
Minimisation des données
Les identifiants de sujet par paire empêchent la corrélation des utilisateurs entre applications. Seules les données nécessaires à l'authentification sont collectées. Aucun suivi comportemental, aucun profil publicitaire, aucune vente de données.
Conservation et suppression
Politiques de conservation des données configurables. Par défaut : sessions purgées après 30 jours, jetons OTP après 24 heures, journaux d'activité après 1 an. Auto-suppression complète du compte avec purge totale des données disponible à tout moment.
Divulgation responsable
Nous prenons les vulnérabilités de sécurité au sérieux. Si vous découvrez un problème de sécurité dans UniAuth, veuillez le signaler de manière responsable. Nous nous engageons à accuser réception des signalements sous 24 heures, à fournir une première évaluation sous 72 heures et à vous tenir informé de l'avancement de la correction.
Les signalements éligibles peuvent prétendre à notre programme de prime aux bugs. La gravité est évaluée selon le score CVSS 3.1. Nous n'engageons aucune action en justice contre les chercheurs qui respectent les règles de divulgation responsable.