Sécurité & conformité
Sécurité, confidentialité et hébergement
iSenior est une plateforme SaaS destinée aux maisons de repos et maisons de repos et de soins. La protection des données, la séparation des établissements, la traçabilité et la maîtrise des accès font partie du socle technique du service.
- Séparation logique des données par établissement
- Accès contrôlés par rôle utilisateur
- Authentification et validation des comptes
- Traçabilité des actions métier sensibles
- Secrets exclus du dépôt Git
- Build, tests et audit de dépendances en CI
1. Hébergement et prestataires techniques
iSenior s’appuie sur des prestataires spécialisés pour l’hébergement, l’authentification, la base de données, le paiement, l’envoi d’emails et le déploiement du service.
- Vercel, pour l’hébergement applicatif et le déploiement ;
- Supabase, pour l’authentification, la base de données et les services associés ;
- Stripe, pour le paiement, les abonnements et la facturation ;
- Resend, pour l’envoi d’emails transactionnels ;
- GitHub, pour la gestion du code et les contrôles de livraison.
La liste des prestataires peut évoluer selon les besoins techniques, fonctionnels ou de sécurité du service.
2. Chiffrement des communications
Les communications entre l’utilisateur et la plateforme sont protégées par HTTPS/TLS lorsque le service est utilisé via le domaine officiel. Les headers de sécurité applicatifs renforcent également la protection contre certains comportements navigateur risqués.
3. Séparation des données par établissement
Chaque utilisateur est rattaché à un établissement et dispose d’un rôle applicatif. Cette séparation repose sur le rattachement des profils, les contrôles applicatifs, les politiques de sécurité au niveau de la base de données et les tests de non-régression dédiés au cloisonnement.
L’objectif est qu’un utilisateur ne puisse accéder qu’aux informations de son établissement, selon son rôle et ses autorisations.
Données cloisonnées
Les utilisateurs sont rattachés à un établissement. Les accès applicatifs et les politiques de base de données visent à empêcher la consultation des données d’un autre établissement.
Rôles et permissions
Les droits sont structurés par profil: direction, cadre infirmier, qualité, soignant, personnel terrain et administration technique.
Traçabilité métier
Les modules sensibles, comme les événements indésirables, transmissions, soins, médication, contentions et validations, sont conçus pour conserver un historique exploitable.
Livraison contrôlée
Le projet dispose d’un workflow CI qui vérifie lint, tests, build et audit des dépendances avant l’intégration des changements.
Secrets maîtrisés
Les clés Supabase, Stripe, Resend et Turnstile ne sont pas versionnées. Un fichier d’exemple documente les variables nécessaires sans exposer de secret.
Sous-traitants identifiés
Les prestataires techniques principaux sont documentés: hébergement applicatif, base de données, authentification, paiement et email transactionnel.
4. Authentification, rôles et validation des comptes
L’accès à la plateforme nécessite un compte valide. Les inscriptions et invitations sont encadrées par des codes d’établissement ou des liens d’invitation, afin d’éviter les créations de comptes non rattachés.
Les rôles permettent de limiter l’accès aux fonctionnalités nécessaires : direction, cadre infirmier, qualité, soignant, personnel terrain ou administration technique.
5. Traçabilité et auditabilité
La plateforme vise à conserver un historique des actions métier importantes : événements indésirables, transmissions, actions de soins, médication, contentions, validations, refus, signatures ou modifications sensibles.
Cette traçabilité aide l’établissement à documenter ses processus internes, analyser les incidents, préparer un contrôle qualité ou suivre les actions réalisées par les équipes.
6. Données sensibles et RGPD
iSenior peut traiter des données relatives aux résidents, comprenant des données de santé ou informations sensibles. Ces données sont traitées dans le cadre de l’utilisation du service par l’établissement client.
L’établissement client reste responsable du traitement des données de ses résidents. iSenior intervient comme sous-traitant technique lorsque les données sont traitées pour le compte de l’établissement.
7. Livraison, tests et dépendances
Le projet est configuré avec un workflow d’intégration continue qui vérifie automatiquement la qualité technique des changements : lint, tests automatisés, build applicatif et audit des vulnérabilités de dépendances à criticité élevée.
Les secrets de configuration ne sont pas stockés dans le dépôt Git. Un modèle d’environnement documente les variables nécessaires pour les environnements locaux, de test ou de production.
8. Sauvegardes, continuité et maintenance
iSenior s’appuie sur ses prestataires techniques pour bénéficier de mécanismes d’infrastructure, de sauvegarde et de continuité adaptés à un service SaaS. Les modalités précises de sauvegarde, restauration, export ou suppression peuvent être précisées contractuellement.
La plateforme peut faire l’objet de mises à jour régulières afin d’améliorer les fonctionnalités, corriger des anomalies, renforcer la sécurité ou adapter le service aux besoins des établissements.
9. Gestion des incidents
En cas d’incident potentiel touchant la sécurité, la confidentialité ou la disponibilité du service, iSenior analyse la situation, prend les mesures techniques appropriées et informe les établissements concernés lorsque cela est nécessaire.
10. Responsabilité de l’établissement client
La sécurité dépend également des pratiques internes de l’établissement. L’établissement reste notamment responsable de la gestion de ses utilisateurs, de la suppression des accès inutiles, de la confidentialité des identifiants, de l’exactitude des données encodées et de la formation de ses équipes.
11. Contact sécurité
Pour toute question relative à la sécurité, à la confidentialité ou à un incident potentiel, l’établissement peut contacter iSenior à l’adresse suivante :