Aucun stockage de messages ni de fichiers
Nous ne stockons jamais le contenu des messages ni les fichiers - seules des métadonnées minimales (IDs, timestamps) sont conservées.
Sécurité
La sécurité chez convly
Vos conversations restent vôtres. convly est conçu pour traiter le strict minimum, tout chiffrer en transit et ne jamais stocker de données au-delà de ce qui est nécessaire à la livraison d'un message.
Nos engagements de sécurité
Chiffrement en transit
Les messages inter-services sont chiffrés en AES-256 et supprimés immédiatement après livraison.
Hébergé sur AWS
Infrastructure AWS aux US (Ohio), déploiement durci et privé.
Permissions minimales
Uniquement les permissions strictement nécessaires à l'interopérabilité Slack ↔ Teams.
Chaque scope que nous demandons, avec son usage précis :
Sécurité applicative
Comment le service convly traite vos données
Aucun stockage du contenu des messages
Le contenu des messages n'est jamais persisté - seules les métadonnées opérationnelles (ID, timestamps, statut) sont conservées.
Rédaction forcée des logs
Tout contenu de message est automatiquement masqué dans les logs applicatifs.
Chiffrement AES-256 des messages
Les messages inter-services sont chiffrés de bout en bout en AES-256, avec un IV aléatoire par message. L'infrastructure de messagerie est déployée en sous-réseaux privés, sans exposition à internet.
Vérification de signature des webhooks
Les événements entrants Slack et Microsoft Teams sont vérifiés via des signatures HMAC, avec protection contre les attaques par rejeu via validation du timestamp, avant tout traitement.
Sécurité de l'infrastructure
AWS · Terraform
Chiffrement au repos
Tous les data stores sont chiffrés avec des clés gérées par le client et rotation automatique.
Gestion des secrets
Aucun identifiant dans le code ni dans les fichiers d'environnement. Tous les secrets (BDD, clés d'API, tokens Slack...) résident dans AWS Secrets Manager, chiffrés par KMS.
IAM moindre privilège
Chaque service utilise des rôles IAM ciblés via OIDC - pas d'identifiants longue durée.
Durcissement de la base de données
SSL/TLS imposé sur toutes les connexions, déploiement uniquement en sous-réseaux privés (pas d'accès public), protection contre la suppression activée.
Sécurité des conteneurs
Scan ECR à chaque push. Les images de conteneurs ne sont accessibles qu'aux environnements d'exécution autorisés.
Déploiement et observabilité
GitOps · ArgoCD · OpenTelemetry
Déploiements GitOps avec ArgoCD
Toutes les modifications d'infrastructure et d'application passent par Git. ArgoCD synchronise la production avec la source de vérité Git.
Pods durcis
Tous les conteneurs s'exécutent en utilisateurs non root.
Observabilité complète
Tous les services émettent traces et métriques via OpenTelemetry.
Des questions sur la sécurité ?
Nous serons ravis de vous présenter notre architecture ou de répondre à vos questions de conformité.