Sécurité & Conformité

Les parties ennuyeuses, bien faites.

Résidence UE, isolation Firecracker par preview, TLS 1.3 + AES-256, opt-out d'entraînement par défaut, propriété complète du code. Les détails ci-dessous — écrits pour qu'un questionnaire de sécurité ait des réponses sans appel téléphonique.

Signaler une vulnérabilitéDemander le DPA →
Architecture

Comment VULK est construit, en six piliers.

Résidence des données

La base de données de production est PostgreSQL 16 hébergée sur AWS RDS en eu-central-1 (Francfort). Serveurs applicatifs en UE. Assets statiques distribués par CDN. Aucun enregistrement client ne quitte l'UE sans un addendum DPA explicite.

  • Base de données : AWS RDS eu-central-1 (Francfort)
  • Serveurs app : AWS Frankfurt (eu-central-1)
  • CDN : Cloudflare global edge (HTTPS uniquement)

Isolation de génération

Chaque preview live tourne dans une microVM Firecracker dédiée avec son propre kernel, rootfs et namespace réseau. Un projet ne peut pas lire ni affecter l'arbre de processus, le filesystem ou le réseau d'un autre. Les VMs sont détruites après la session — pas d'état persistant partagé.

  • MicroVM Firecracker par preview
  • Namespace réseau + filtre iptables egress
  • Rootfs éphémère, détruit en fin de session

Chiffrement

TLS 1.3 en transit partout. AES-256 au repos sur RDS et R2 / S3. Secrets clients dans le keychain (variables d'env côté application, jamais loggées, jamais retournées dans les réponses API). Payloads webhook signés HMAC.

  • TLS 1.3 (HTTPS uniquement)
  • AES-256 au repos (RDS, R2, S3)
  • Secrets jamais loggés ni renvoyés

Politique providers IA

Nous routons via OpenRouter vers Anthropic, Google, OpenAI et d'autres. Nous privilégions les routes avec contrôles no-training ou zero-retention quand elles sont disponibles. L'opt-out des données d'entraînement VULK est inclus sur Max et Business ; les clients BYOM peuvent imposer la politique avec leurs propres clés.

  • Zero-retention par défaut sur les modèles routés
  • Opt-out d'entraînement sur Max et Business
  • BYOK (votre propre clé) sur Business

Authentification

L'auth utilise NextAuth avec PKCE. Le linking Stripe Customer est server-side uniquement. MFA optionnel, SSO via SAML / OIDC sur Business, avec livraison d'audit log à votre SIEM.

  • NextAuth (PKCE, cookies secure-only)
  • MFA optionnel via TOTP
  • SSO SAML / OIDC sur Business

Propriété du code

Chaque projet est votre code. Export vers GitHub ou en zip ; faites-le tourner sur votre infra ; annulez-nous demain et les apps que vous avez construites continuent de tourner. Nous ne tenons pas de licence sur votre sortie, et il n'y a pas de runtime derrière un abonnement SaaS.

  • Export complet du dépôt (GitHub ou zip)
  • Pas de runtime propriétaire
  • Licenciable MIT selon vos conditions
Conformité

Comment nous gérons la conformité.

Ce que nous faisons aujourd'hui — direct, sans certifications que nous ne détenons pas.

  • RGPDAlignéVULK est le responsable de traitement. DPA sur demande. Sous-traitants divulgués et notifiés en cas de changement.
  • Accord de traitement des donnéesDisponibleEnvoyé gratuitement pour les plans Pro et Business. Conditions Enterprise examinées sous 5 jours ouvrés.
  • PCI-DSSN/A — Stripe gère les cartesLes données de carte ne touchent jamais aux serveurs VULK. Stripe Checkout / Elements gère tout le périmètre PCI.
Sous-traitants

Qui d'autre touche à vos données.

Nous sommes tenus de divulguer chaque service externe susceptible de traiter vos données. La notification en cas de changement fait partie du DPA.

ServiceFinalitéRégion
AWS (RDS, S3)Base de données + stockageeu-central-1 (Francfort)
CloudflareCDN, DNS, stockage R2, déploiementEdge global
StripeFacturation + traitement des paiementsUE + USA (PCI-conforme)
ResendE-mail transactionnelUE
OpenRouterRoutage de modèles IAGlobal (routage providers zero-retention)
SentryMonitoring d'erreursUE
Divulgation

Vous avez trouvé une vulnérabilité ? Dites-le-nous d'abord.

Nous accueillons la divulgation responsable. E-mail à security@vulk.dev avec étapes de reproduction, comportement attendu vs observé, et une évaluation de gravité de type CVSS. Nous accusons réception sous 24 heures et trions sous 72. Aucun NDA n'est requis pour parler à un chercheur.

Les paiements de bug bounty sont examinés au cas par cas selon l'impact. Crédit public (ou anonyme, à votre choix) offert dans le changelog.

E-mail security@vulk.devHub légal →

Dernière révision : April 30, 2026

Construisez des apps avec l'IA, dès aujourd'hui.

Commencer à construire
Sécurité VULK — Résidence UE, isolation Firecracker, opt-out d'entraînement | VULK