Skip to main content

Sécurité et conformité

Dernière mise à jour:

Les opérateurs déplacent de l'argent réel sur nuke.ai. La posture de sécurité de la plateforme est la garantie porteuse derrière chaque marque qu'on alimente. Cette page documente les contrôles qu'on opère, les standards qu'on s'impose, et le processus de réponse quand quelque chose dérape. C'est volontairement précis — les pages de sécurité vagues, c'est la signature des fournisseurs qui n'ont pas vraiment les contrôles.

À VÉRIFIER AVANT DE LIER PUBLIQUEMENT. Certaines affirmations ci-dessous (ISO 27001, cadence exacte des pen-tests et nom de la firme) demandent une confirmation de l'équipe sécurité de nuke.ai avant que cette page soit reliée depuis le marketing nav.

1. Résidence des données

Les données opérateurs et joueurs sont stockées dans la région correspondant à la juridiction de licence de la marque. Les marques UE stockent en régions UE; les marques LATAM en régions Amérique-du-Nord-Sud; les marques Asie en régions AP. La réplication inter-régions est opt-in, jamais par défaut. Les sauvegardes de base de données héritent des mêmes contraintes régionales; les copies de reprise hors région sont chiffrées au repos avec des clés KMS liées à la région.

2. Chiffrement

TLS 1.3 avec HSTS preload sur chaque point d'extrémité public; uniquement des chiffrements à confidentialité persistante (PFS). Les données au repos utilisent AES-256-GCM avec chiffrement par enveloppe — clés au niveau colonne pour les instruments de paiement et les enregistrements KYC, clés au niveau schéma pour tout le reste. La rotation des clés est automatique sur un cycle de 90 jours; la rotation manuelle est à un appel API en cas d'incident.

3. Contrôles d'accès

L'accès console côté opérateur exige SSO (Google Workspace, Okta, Azure AD) et impose MFA. Les permissions sont RBAC avec sept rôles par défaut plus un constructeur de rôles personnalisés. Chaque action administrative — changement de config, paiement, override KYC, déploiement de marque — produit une entrée immuable dans le journal d'audit, visible à la fois par les admins de l'opérateur et par le support nuke.ai en cas de triage d'incident.

4. Tests d'intrusion

Les tests d'intrusion externes sont effectués trimestriellement par une firme indépendante accréditée CREST. Les résultats sont suivis dans le registre CVE interne; les résultats critiques/élevés sont corrigés dans les SLAs (24h / 7j respectivement) et reflétés dans le changelog d'ingénierie. Un résumé caviardé est disponible aux équipes sécurité opérateurs sous NDA.

5. Certifications

ISO 27001 sur la feuille de route. La portée PCI-DSS est limitée à la passerelle de tokenisation — les données cartes des opérateurs ne transitent pas par les serveurs applicatifs nuke.ai. Rapports de conformité disponibles sous NDA.

6. Divulgation de vulnérabilités

Les chercheurs en sécurité peuvent divulguer leurs trouvailles à [email protected]. Nous nous engageons à accuser réception sous 72 heures, à fournir un statut de remédiation sous 14 jours, et à créditer les chercheurs externes dans le changelog de sécurité public (opt-in).

7. Réponse aux incidents

Les incidents Sev-1 (pannes affectant les opérateurs, exposition de données) sont accusés réception en 15 minutes, mises à jour de la page de statut toutes les 30 minutes jusqu'à résolution, et un post-mortem public sous 5 jours ouvrables. Les incidents Sev-2 (performance dégradée, panne partielle de fonctionnalité) sont accusés réception en 1 heure. Le statut actuel à l'échelle de la plateforme est publié sur le bandeau de statut de la page d'accueil et mis à jour à chaque release.

8. Contact

Demandes de sécurité : [email protected].
Conformité générale : [email protected].