Comment HUT gère la confiance, la protection des comptes et les opérations de lancement
HUT est conçu pour les opérateurs immobiliers qui doivent faire confiance à la surface de données, au flux de facturation et aux contrôles de compte avant de passer du vrai travail dans le produit. Cette page résume la posture sécurité et opérationnelle déjà visible dans le produit aujourd'hui.
Protection du compte
- Les flux de connexion et d'inscription sont protégés par des contrôles CSRF, Turnstile CAPTCHA et limitation de débit.
- L'authentification à deux facteurs et la revue des sessions actives sont accessibles depuis les paramètres du compte pour les comptes pris en charge.
- Les cookies de session sont signés et HttpOnly, et les déploiements peuvent utiliser un stockage de session côté serveur lorsque Redis est configuré.
- Réinitialisation du mot de passe et vérification e-mail sont des flux de première classe, pas des contournements manuels du support.
Facturation et paiements
- La gestion des cartes client est déléguée aux fournisseurs de facturation hébergés plutôt que stockée directement par HUT.
- Le portail de facturation affiche les changements de formule, mises à jour de paiement, factures et annulation en fin de période.
- Les tarifs, différences de formules, durée d'essai et conditions d'annulation sont expliqués sur la page tarifs publique.
- Les pages confidentialité et conditions sont publiées et liées depuis toutes les surfaces de conversion publiques.
Surveillance et reprise
- Le suivi des erreurs et les endpoints de santé font partie de la stack applicative avant le lancement, pas après.
- Procédures de sauvegarde, restauration, rollback et réponse aux incidents documentées dans le runbook de lancement.
- La préparation au lancement est traitée comme une discipline opérationnelle avec test du chemin critique, attribution des responsables et règles de rollback.
- Les divulgations de sécurité peuvent utiliser le chemin de contact security.txt publié.
Données et confidentialité
- HUT agrège des sources de registre public et sous licence, et le produit invite les utilisateurs à vérifier indépendamment les décisions juridiques ou financières critiques.
- Les divulgations de confidentialité expliquent quelles métadonnées de compte, facturation et sécurité sont collectées et pourquoi.
- Les signaux de confiance publique incluent confidentialité, conditions, centre d'aide, security.txt et un parcours de support documenté.
- Les affirmations sur les fonctionnalités et forfaits correspondent aux surfaces produit en direct plutôt qu'à du texte marketing provisoire.
Posture de conformité et certifications
HUT est un jeune produit et nous sommes honnêtes sur notre situation. La liste ci-dessous reflète l'état en direct de chaque certification ou audit — pas de théâtre, pas de badges aspirational.
Engagement d'audit prévu pour 2026. Les contrôles (revue d'accès, gestion des changements, risque fournisseur, réponse aux incidents) sont documentés et exercés aujourd'hui ; attestation formelle en attente d'audit.
Le Type 2 suit l'attestation Type 1 après la fenêtre d'observation standard de 6–12 mois. Attestation cible : T4 2026. Les clients courtage peuvent demander une réponse actualisée au questionnaire de sécurité en attendant à security@huthut.app.
Toutes les données de carte sont gérées par Stripe Checkout / Billing. HUT ne stocke jamais les PAN, CVC ni numéros complets. Le périmètre PCI est délégué à Stripe.
Tout le trafic HUT (web et API) exige TLS 1.2 ou supérieur. HSTS activé ; suites de chiffrement héritées désactivées en périphérie.
La politique de confidentialité décrit les données collectées, pourquoi, et comment demander export ou suppression. Envoyez vos demandes à privacy@huthut.app.
La formule Broker Enterprise enregistre l'activité d'équipe (connexion, accès documents, décisions d'approbation) dans un journal d'audit inviolable exportable sur demande.
Besoin de notre questionnaire de sécurité actuel (CAIQ-Lite, revue fournisseur) ? Écrivez à security@huthut.app avec le modèle de votre firme.