ChinaSiteReady ChinaSiteReady
Vérification gratuite
Accueil · Sécurité

Sécurité et conformité

Comment nous protégeons les données client, les contrôles en place et notre posture de conformité.

Ce document est une traduction fournie à titre indicatif. En cas de conflit avec la version anglaise, la version anglaise prévaut. Voir la version anglaise →

Dernière relecture : 26-05-2026 · Version 1.0

Résumé : ChinaSiteReady est une petite équipe d’ingénierie ciblée. Nous ne prétendons pas être certifiés SOC 2 ni ISO 27001 à ce stade, et nous sommes honnêtes sur ce point ci-dessous. Ce que nous apportons : un flux de données clair, un nombre réduit de fournisseurs reconnus, des choix par défaut défendables, et la volonté de répondre par écrit aux questionnaires de sécurité.

Données que nous détenons

Le Service met en miroir et exploite les pages informatives statiques de votre site. Nous détenons :

  • Éléments client — copies des pages, images, polices et textes que vous nous demandez de mettre en miroir, plus les autorisations de marque/domaine et documents d’entreprise que vous fournissez.
  • Journaux d’exploitation — URL de requête, adresses IP, horodatages, codes de réponse, traces d’erreur. Utilisés pour la supervision, le débogage et la conformité réglementaire chinoise. Conservés en général 30 à 90 jours.
  • Communications — e-mails, soumissions du formulaire de contact, notes de projet.

Le Service est destiné à du contenu marketing informatif statique. Nous n’acceptons pas la transmission via le Service de données personnelles de personnes physiques, de données de paiement, de santé, financières ou biométriques, sauf signature d’un DPA distinct (voir DPA).

Où sont stockées les données

Le Service est livré sur l’infrastructure AWS. L’hébergement de production peut se trouver dans :

  • AWS Global — pour votre site global existant (auquel nous ne touchons pas).
  • AWS China (opéré par Sinnet/NWCD) — pour le site miroir Chine que nous servons aux visiteurs en Chine continentale.
  • La région exacte pour votre projet est documentée dans le plan de projet et dépend du parcours de déploiement ICP choisi.

Les analytics du site marketing (le présent site) sont envoyés à PostHog Cloud dans la région États-Unis.

Chiffrement

  • En transit : tout le trafic exposé est servi en HTTPS avec TLS 1.2 ou plus. TLS 1.0 et 1.1, RC4 et les suites cryptographiques cassées sont désactivés. HSTS est activé lorsque la propriété du domaine client le permet.
  • Au repos : tout le stockage utilise par défaut le chiffrement côté serveur S3 (SSE-S3) ; les éléments client résident sur des volumes chiffrés. Les sauvegardes sont chiffrées avec des clés gérées par AWS.
  • Secrets : les secrets de déploiement et tokens d’API sont stockés dans AWS Secrets Manager (ou un coffre-fort équivalent côté Chine sur AWS China), jamais dans le code source. Les accès sont journalisés.

Contrôles d’accès

  • L’accès en production est limité aux ingénieurs travaillant sur votre projet, octroyé sur le principe du moindre privilège.
  • Tout accès en production requiert une authentification multifacteur.
  • L’accès au compte root AWS est restreint, protégé par MFA et audité.
  • Les identifiants côté client (tokens DNS, identifiants CMS, etc.) ne sont acceptés que par échange sécurisé et stockés dans notre coffre-fort ; ils ne sont pas conservés au-delà de la mission, sauf demande explicite.

Réseau

  • Le calcul d’origine s’exécute dans des sous-réseaux VPC privés avec contrôles de flux sortants par security group.
  • Le trafic public est exposé via AWS CloudFront (ou équivalent en Chine) avec des règles WAF pour les catégories OWASP Top 10.
  • Les points d’accès d’administration ne sont pas publics.

Supervision et réponse aux incidents

  • Nous supervisons la disponibilité et exécutons des contrôles synthétiques pour chaque actif en production que nous opérons. La notification d’astreinte va à l’ingénieur de garde par e-mail ; les incidents graves déclenchent un appel de pager.
  • Les journaux d’audit des accès en production sont conservés.
  • Si nous prenons connaissance d’un incident de sécurité affectant vos éléments client, nous (a) enquêtons, (b) prenons des mesures de confinement et (c) vous notifions par écrit sans retard excessif. Nous visons une première notification dans les soixante-douze (72) heures suivant la confirmation d’un incident significatif, suivie d’un rapport plus complet.

Sauvegardes et continuité

  • Les ressources du site miroir sont versionnées dans un dépôt source et reconstructibles à tout moment depuis la source.
  • Les journaux d’exploitation et analytics sont sauvegardés sur des classes de stockage durables AWS.
  • Pour les missions clients de longue durée, les objectifs de reprise sont documentés dans le plan de projet et adaptés à la cadence réelle de mise à jour du contenu.

Gestion des vulnérabilités

  • Les images OS sont mises à jour selon une cadence définie ; les correctifs de sécurité sont suivis.
  • Les dépendances applicatives sont figées et revues avant mise à niveau.
  • Nous n’avons pas de bug bounty public à ce jour. Divulgation coordonnée : écrivez à chinasiteready@autoinfra.cn avec l’objet « Security disclosure ». Nous accusons réception par écrit sous 5 jours ouvrés.

Posture de conformité — version honnête

  • Nous ne sommes pas certifiés SOC 2 ou ISO 27001 à ce stade. Une certification tierce indépendante est dans notre feuille de route à moyen terme ; nous ne fixons pas de date stricte car nous ne la passerons que lorsque nous serons sûrs de la réussir.
  • Nous effectuons les dépôts ICP requis par la réglementation chinoise pour tout déploiement en région Chine, lorsque cela s’applique. Voir Comment ça marche § Déploiement conforme ICP pour les parcours et notre rôle.
  • Nous répondons de bonne foi aux questionnaires de sécurité (y compris SIG / CAIQ) sans frais supplémentaires pour les clients actifs.
  • Nous pouvons signer un NDA mutuel avant toute discussion de due diligence approfondie.

Tests d’intrusion

Nous ne missionnons pas, à ce jour, un prestataire externe de tests d’intrusion sur un calendrier fixe. Pour les missions plus larges, nous coordonnons volontiers avec le prestataire tiers choisi par le client, à ses frais, sur le périmètre du site miroir Chine que nous opérons. Des tests internes avec des scanners standards sont exécutés périodiquement.

Fournisseurs sur lesquels nous nous appuyons

Nous gardons une liste réduite et reconnue de fournisseurs externes. À ce jour : AWS (Global et AWS China pour l’hébergement et le CDN), PostHog (analytics pour notre site marketing uniquement) et des outils d’exploitation standards. Les clients peuvent demander la liste à jour et les localisations au titre de la due diligence avant signature.

Accord de traitement des données

Pour les clients qui exigent un DPA avant signature, notre DPA standard est disponible à la page DPA. Nous pouvons aussi accepter, au cas par cas, un modèle de DPA fourni par le client.

Contact

Demandes liées à la sécurité et à la conformité : chinasiteready@autoinfra.cn. Nous répondons en général sous cinq jours ouvrés.

Envoyez-nous votre URL.

Vérification d’accès Chine gratuite. Cinq jours ouvrés. Sans formulaire de tracking.

Nous contacter Voir le déroulement