Krokanti Tasks est conçu avec la sécurité par défaut.

Chiffrement des données

En transit : TLS 1.3 entre votre navigateur et nos serveurs. HTTPS imposé partout.

Au repos : Données stockées dans Neon Postgres sur infrastructure AWS avec chiffrement AES-256.

Mots de passe : Hashés avec bcrypt. Jamais stockés ni journalisés en clair.

Sécurité de l'authentification

Inscription email + mot de passe avec bcrypt à coût élevé
Google OAuth 2.0 — nous ne voyons jamais votre mot de passe Google
Authentification à deux facteurs (TOTP) dans Paramètres -> Sécurité
Jetons de session JWT à courte durée de vie

Nous recommandons fortement d'activer l'authentification à deux facteurs. Elle protège votre compte même si votre mot de passe est compromis.

Journal d'audit

Chaque action significative est enregistrée : connexions, changements de mot de passe, 2FA, invitations, facturation, jetons API.

Jetons API

Les jetons (kt_) sont générés avec 40 caractères hexadécimaux aléatoires, stockés en hash SHA-256, limités à 100 requêtes/minute et révocables à tout moment.

Traitez les jetons API comme des mots de passe. En cas d'exposition, révoquez immédiatement.

Conservation des données

Comptes actifs : conservation indéfinie
Comptes supprimés : suppression douce immédiate, suppression définitive après 30 jours
Tâches supprimées : suppression immédiate (pas de corbeille)

RGPD

Si vous êtes dans l'UE/EEE :

Droit d'accès à vos données (contactez le support)
Droit de suppression (Paramètres -> Données -> Supprimer le compte)
Nous ne vendons pas vos données
Notre sous-traitant (Neon) est certifié SOC 2 Type II

Divulgation responsable

Vulnérabilité découverte ? Écrivez à security@krokanti.com. Réponse sous 24h. N'ouvrez pas d'issues GitHub publiques pour les vulnérabilités.