Responsabilité fondatrice
ActifLes missions CUB3 sont conduites par des ingénieurs seniors proches de l'architecture, du risque de livraison et de la communication client.
Centre de confiance opérationnel
CUB3 aide les équipes à reprendre, construire et accélérer des logiciels lorsque la fiabilité compte. Cette page résume notre approche de la protection des données, du contrôle d'accès, de l'infrastructure, de l'usage de l'IA et de la conformité sur les missions client.
Entreprise
- Partenaire d'ingénierie basé en Andorre
- Livraison pilotée par les fondateurs
Périmètre
- Revitalisation
- Architecture
- Accélération
Contact
- contact@cub3.eu
- Documents disponibles sur demande
Comment CUB3 construit la confiance
Notre modèle de confiance est pragmatique : périmètre clair, responsabilité senior, accès contrôlés, décisions documentées et aucune revendication de certification sans preuve disponible.
Séparation des projets
ActifLe travail client est cadré par mission, avec des dépôts, environnements, identifiants et documents de livraison séparés lorsque c'est applicable.
Habitudes de livraison sécurisée
ActifNous privilégions la revue de code, l'isolation des environnements, l'hygiène des dépendances et les garde-fous CI/CD.
Minimisation des données
ActifNous demandons le minimum de données de production nécessaire et préférons les données anonymisées ou d'environnement bas lorsque cela suffit.
Gouvernance de l'IA
CadréLe travail assisté par IA est cadré par les contraintes du projet, revu par des ingénieurs et traité avec la confidentialité client en tête.
Preuves sur demande
Sur demandeQuestionnaires sécurité, notes d'architecture et documents contractuels peuvent être partagés pendant un achat qualifié ou une mission active.
Protection des données
CUB3 traite les informations client selon le périmètre de la mission, les classes de données concernées et les exigences contractuelles convenues.
Classification avant accès
Nous clarifions quelles données sont nécessaires, si l'accès production est indispensable et quels enregistrements doivent être anonymisés, masqués ou exclus.
Transport chiffré et stockage protégé
Le trafic web public est servi en HTTPS. Les environnements client utilisent le chiffrement de transport et des protections de stockage adaptées à l'infrastructure retenue.
Conservation par accord de mission
Les éléments client sont conservés uniquement le temps nécessaire à la livraison, au support, aux obligations légales ou contractuelles, puis supprimés ou restitués.
Revue humaine des travaux sensibles
Les changements sensibles, opérations de reprise et livrables assistés par IA sont revus par des ingénieurs seniors avant livraison ou déploiement.
Infrastructure et livraison
CUB3 adapte l'architecture au contexte métier au lieu d'imposer une pile unique. Le site public et nos pratiques de livraison sont pensés pour la fiabilité et la maintenabilité.
Hébergement du site public
- Application Next.js déployée via la stack AWS de production
- CloudFront devant l'origine Elastic Beanstalk
- Enregistrements de domaine Route53 pour cub3.eu et trust.cub3.eu
Environnements client
- Cloud ou infrastructure contrôlée par le client selon la mission
- Préférences d'hébergement UE ou local considérées selon la sensibilité des données
- Séparation développement, staging et production lorsque le projet le permet
Pipeline de livraison
- Gestion de source et pull requests comme modèle de collaboration par défaut
- Garde-fous CI/CD pour tests, builds et déploiements lorsque le projet les supporte
- Secrets hors du code source et stockés dans les coffres approuvés
Visibilité opérationnelle
- Logs, métriques et alerting adaptés à la criticité du produit
- Notes d'incident et runbooks pour les missions de reprise
- Documentation de passation avant transfert de propriété
Contrôle d'accès
L'accès est traité comme une dépendance de livraison : suffisant pour résoudre le problème, limité à la mission et révocable à la fin.
Authentification
- Accès nominatifs privilégiés aux comptes partagés
- Authentification multifacteur activée lorsque la plateforme client le permet
- Accès temporaires revus à l'onboarding et à l'offboarding
Autorisation
- Permissions de moindre privilège alignées sur le périmètre
- Accès production évité sauf nécessité approuvée
- Accès administrateur séparé de l'accès de livraison quotidien
Secrets
- Identifiants jamais committés dans le code source
- Variables d'environnement et coffres de secrets utilisés lorsque disponibles
- Rotation de clés recommandée après accès sensible ou passation lorsque pertinent
Gouvernance IA
CUB3 utilise l'IA de manière pragmatique, mais jamais comme substitut à la responsabilité d'ingénierie. Les contraintes client définissent ce qui peut être traité et où.
| Contrôle | Description | Statut |
|---|---|---|
| Données client dans les outils IA | Les données client ne sont utilisées avec des fournisseurs IA/modèles que si le périmètre, la classe de données et les conditions du fournisseur sont compatibles avec la mission. | Cadré |
| Revue humaine | Code, analyses, documentation et propositions d'architecture assistés par IA restent revus par les ingénieurs CUB3 avant livraison. | Actif |
| Minimisation des prompts | Identifiants sensibles, secrets, données personnelles brutes et détails de production inutiles sont exclus des prompts lorsque possible. | Actif |
| Choix fournisseur | Les outils sont choisis selon les besoins du projet, la sensibilité des données, les contraintes client et les engagements contractuels. | Défini par projet |
| Décisions traçables | Les hypothèses matérielles d'architecture et de flux de données sont consignées dans la documentation ou les notes de passation. | Actif |
Posture de conformité
CUB3 distingue les cadres actifs, les démarches en cours, les éléments planifiés et les preuves disponibles sur demande.
RGPD
ActifCadre actif pour le site et les missions : politique de confidentialité publique, minimisation des données, demandes de droits et conditions de traitement selon le projet.
NIS2
En coursNIS2 n'est pas une certification. CUB3 suit les exigences pertinentes et structure son alignement sécurité pour les missions concernées.
ISO 9001
En coursDémarche qualité en cours : formalisation des processus, traçabilité des livrables, revues et amélioration continue.
ISO 27001
PlanifiéPlanifié : formalisation du SMSI, politiques de sécurité, analyse de risques, contrôle d'accès et preuves d'audit.
Conditions de traitement des données
Sur demandeDes conditions de traitement propres au projet peuvent être convenues lorsque CUB3 traite des données personnelles client.
Questionnaire sécurité
Sur demandeLes questionnaires sécurité fournisseur peuvent être traités pendant un processus d'achat ou une mission qualifiée.
Preuves d'architecture
Défini par projetDiagrammes d'architecture, notes de flux de données et runbooks sont produits lorsqu'ils sont pertinents pour la mission.
Réponse aux incidents
Sur les missions de reprise et de livraison critique, la réponse aux incidents combine communication directe, confinement cadré et remédiation documentée.
Détecter
Identifier le signal, confirmer l'impact et distinguer les symptômes des causes racines.
Contenir
Réduire le périmètre d'impact, protéger les données et stabiliser le service avant les changements plus larges.
Notifier
Escalader aux bons interlocuteurs client avec des faits clairs, les risques et les décisions nécessaires.
Remédier
Livrer le correctif, documenter la cause racine et ajouter des garde-fous pour éviter la récidive.
Documents
Les documents publics sont accessibles directement. Les documents sensibles ou propres aux clients sont partagés après qualification.
Politique de confidentialité
Politique publique pour les données personnelles collectées via le site CUB3.
PublicOuvrir
Conditions d'utilisation
Règles d'accès et d'utilisation du site public.
PublicOuvrir
Conditions Générales de Vente
Conditions commerciales applicables aux services CUB3.
PublicOuvrir
Accord de traitement des données
Conditions de traitement propres aux missions impliquant des données personnelles.
Sur demandeDemander
Questionnaire sécurité
Réponses fournisseur pour achat, conformité ou due diligence client.
Sur demandeDemander
Notes d'architecture et de passation
Diagrammes, runbooks et preuves de livraison au niveau projet lorsque prévus dans la mission.
Défini par projetDemander
FAQ
Réponses courtes aux questions de sécurité et de gouvernance fréquentes pendant l'achat ou le cadrage de projet.
CUB3 héberge-t-il les systèmes de production client ?
Cela dépend de la mission. CUB3 peut intervenir sur des environnements contrôlés par le client, des plateformes cloud ou une infrastructure dédiée choisie pour le projet. Le modèle d'hébergement est convenu au cadrage.
CUB3 peut-il signer un DPA ou un addendum sécurité ?
Oui, lorsque le projet implique un traitement de données personnelles ou des exigences fournisseur spécifiques, les documents concernés peuvent être revus pendant la contractualisation.
CUB3 utilise-t-il des données client avec des outils IA ?
Uniquement lorsque le périmètre de mission, la classification des données, les conditions fournisseur et les contraintes client le permettent. Nous minimisons les données sensibles et conservons une revue humaine.
Comment CUB3 gère-t-il les accès en fin de mission ?
L'offboarding inclut la passation documentaire, la révocation ou le transfert des identifiants, et des recommandations de rotation de clés lorsqu'un accès sensible a été utilisé.
Où envoyer une question sécurité ?
Envoyez vos questions de sécurité ou d'achat à contact@cub3.eu avec le contexte du projet et les documents nécessaires.
Besoin de détails sécurité pour un achat ?
Envoyez le contexte du projet, le document attendu et le délai souhaité. Nous répondrons avec le bon niveau de preuve pour la mission.