Sécurité
Comment dakimmo protège tes données et celles de tes clients. Pas de revendication de certification qu'on n'a pas, juste les pratiques concrètes qu'on applique au quotidien et qu'on durcira au fil de la croissance du produit.
Tes données sont-elles chiffrées ?
Oui, à deux niveaux. En transit, toutes les communications entre ton navigateur, ton app mobile et nos serveurs passent par TLS 1.2 minimum (TLS 1.3 par défaut quand le client le supporte). Les certificats sont renouvelés automatiquement et on n'expose jamais d'API en HTTP brut. Au repos, les bases de données et les sauvegardes sont chiffrées avec AES-256. Les fichiers que tu charges (mandats, photos de biens, documents clients) sont stockés chiffrés sur un service objet européen.
Où sont hébergées tes données ?
Sur des serveurs en Union européenne (Pays-Bas et France principalement) opérés par des hébergeurs de tier 1. On ne transfère pas tes données hors UE par défaut. Si un sous-traitant technique est basé hors UE — par exemple un fournisseur d'envoi d'emails transactionnels — l'accès est encadré par les clauses contractuelles types européennes.
Sur le plan Sur-mesure, on peut héberger sur des infrastructures dédiées dans une zone géographique précise (par exemple France exclusivement) si ton activité l'exige.
Qui a accès à tes données chez dakimmo ?
Le moins de personnes possible. Une équipe technique restreinte, identifiée nominativement, accède aux systèmes de production. Chaque accès est tracé — on sait qui a vu quoi et quand. Les développeurs travaillent par défaut sur des bases de données anonymisées. L'accès aux données client en clair n'est ouvert qu'à la demande explicite d'un client (incident support) et pour la durée strictement nécessaire à la résolution.
Comment on protège tes mots de passe ?
On ne stocke jamais ton mot de passe en clair. On stocke un hash bcrypt avec un coût de calcul élevé qui rend le brute-force impraticable. Tu peux activer une authentification à deux facteurs (TOTP ou SMS) sur ton compte — recommandée fortement pour les comptes admin. Sur Sur-mesure, on peut activer le SSO via SAML ou OpenID Connect avec ton fournisseur d'identité (Google Workspace, Microsoft Entra ID, Okta).
Que fait-on contre les attaques ?
Une couche de protection applicative bloque les tentatives d'injection, de XSS et de prise de contrôle de session. Les API exposées ont une limitation de débit pour stopper les attaques par force brute. On surveille les logs en continu pour détecter les comportements anormaux (connexions depuis une géographie inhabituelle, exfiltration massive, élévation de privilège). Un test d'intrusion externe est conduit chaque année par un cabinet indépendant — les résultats sont disponibles sous accord de confidentialité pour les clients du plan Sur-mesure.
Que se passe-t-il en cas d'incident ?
Si on détecte un incident de sécurité affectant tes données (accès non autorisé, fuite, perte d'intégrité), on te prévient sous 72 heures avec une description claire de ce qui s'est passé, des données touchées et des mesures correctives. C'est une obligation légale dans plusieurs juridictions, mais c'est surtout un engagement basique de confiance — on ne te le cache pas.
On maintient un plan de continuité avec sauvegardes journalières chiffrées conservées sur trente jours, restauration testée tous les trimestres, et une procédure documentée de bascule vers une infrastructure de secours.
Tu peux exporter ou supprimer tes données ?
À tout moment. Depuis ton compte, tu exportes l'intégralité de ton CRM en CSV (contacts, deals, biens, mandats, historique de messages). Pour une suppression définitive après résiliation, écris-nous — on supprime sous trente jours, en gardant uniquement ce que la loi nous oblige à conserver (factures, principalement).
Une question de sécurité, un signalement de vulnérabilité ? Écris-nous à contact@dakimmo.com — un humain te répond rapidement.