Conditions d’utilisation — Entreprise

1. Introduction

Les présentes conditions d’utilisation (Entreprise) régissent l’usage de la plateforme d’authentification QuantumAuth (le « Service »). QuantumAuth fournit une authentification cryptographique liée à l’appareil via du matériel de sécurité (TPM, enclaves sécurisées ou technologies équivalentes).

En accédant au Service ou en l’utilisant, vous acceptez ces conditions. Si vous concluez cet accord au nom d’une organisation, vous déclarez avoir l’autorité nécessaire.

2. Alignement sur les cadres de conformité (ISO 27001 / SOC 2)

QuantumAuth met en œuvre des pratiques de sécurité, d’exploitation et de gouvernance alignées sur ISO/IEC 27001 et les critères SOC 2 (Sécurité, Disponibilité, Intégrité du traitement, Confidentialité et Vie privée).

Cela comprend notamment :

• Processus formels de gestion des risques et de gouvernance sécurité.
• Contrôles d’accès fondés sur le moindre privilège et l’autorisation par rôles.
• Journalisation, surveillance et procédures de réponse aux incidents.
• Évaluation des risques fournisseurs et chaîne d’approvisionnement.
• Contrôles SSDLC (cycle de vie de développement sécurisé).
• Chiffrement des données en transit selon des standards modernes.
• Séparation des tâches, gestion des changements et revue de code.

Sur demande raisonnable, QuantumAuth peut fournir une documentation de conformité (ex. résumés de politiques, lettres SOC, aperçu sécurité) dans le cadre d’une évaluation entreprise.

3. Responsabilités du client

Dans le cadre d’un modèle de responsabilité partagée, le client demeure responsable de :

• Sécuriser les appareils, serveurs et environnements où QuantumAuth est déployé.
• Gérer les identités, configurations d’accès et logiques d’autorisation.
• Protéger les clés de récupération, identifiants d’appareils et matériel de sauvegarde.
• S’assurer que les administrateurs respectent la gouvernance interne.
• Configurer les intégrations selon les pratiques recommandées.

QuantumAuth n’a aucun accès aux clés privées du client et ne peut pas les récupérer. Les clés restent sous contrôle du client, sur son matériel, par conception.

4. Zéro accès aux secrets cryptographiques

QuantumAuth applique une architecture stricte à zéro connaissance et zéro accès :

• Les clés privées ne quittent jamais les appareils du client ni les modules matériels.
• QuantumAuth ne peut ni déchiffrer, ni exporter, ni reconstruire des clés privées.
• Seuls des éléments publics et non sensibles sont transmis pour validation.
• Les signatures sont générées localement et vérifiées cryptographiquement par le Service.

5. Disponibilité & niveaux de service

QuantumAuth vise une haute disponibilité et une fiabilité opérationnelle adaptées aux exigences entreprise. Des engagements spécifiques (SLA) peuvent être définis dans un accord entreprise séparé, le cas échéant.

6. Limitation de responsabilité

Dans la mesure permise par la loi, QuantumAuth n’est pas responsable des dommages indirects, accessoires, consécutifs, spéciaux ou exemplaires, notamment la perte de données, la perte de revenus ou l’interruption d’activité.

QuantumAuth n’est pas responsable des dommages résultant :

• D’une mauvaise configuration des intégrations ou des systèmes d’identité du client.
• De la perte ou compromission de clés cryptographiques gérées par le client.
• De défaillances de sécurité côté client, malwares ou compromission d’appareil.
• D’un usage du Service hors des pratiques recommandées ou documentées.

7. Mises à jour des conditions

QuantumAuth peut modifier ces conditions afin de refléter l’évolution des exigences réglementaires, de sécurité ou opérationnelles. Les mises à jour seront publiées sur cette page. L’utilisation continue du Service vaut acceptation des conditions mises à jour.

8. Contact & demandes de conformité

Pour les questions de conformité, de sécurité ou d’approvisionnement entreprise, contactez notre équipe sécurité :

security@quantumauth.io