Aller au contenu

Sécurité · Confiance

Self-hosted par conception. Vos données ne quittent jamais votre infrastructure.

Olivares AI gouverne l’accès aux agents d’IA présents sur votre infrastructure ; il est donc conçu pour être sécurisé avant tout. Il s’exécute au sein de votre propre infrastructure, observe en lecture seule et enregistre la carte des accès — pas les données qui y transitent. Cette page explique comment nous le prouvons, en toute honnêteté.

Traitement des données

Ce que nous touchons, et ce qui ne sort jamais

La garantie de confidentialité la plus forte est architecturale, pas un certificat : parce qu’Olivares AI est self-hosted, les données sensibles restent dans votre périmètre et nous ne les voyons jamais.

S’exécute dans votre infrastructure

Self-hosted sur vos propres hôtes, clusters ou clouds — le control plane lui-même peut fonctionner entièrement air-gapped, enregistrant sa carte des accès sans aucune sortie de vos données. Les agents que vous gouvernez continuent d’atteindre les API qu’ils appellent, comme un fournisseur de modèles hébergé ; seuls les modèles self-hostables fonctionnent entièrement hors ligne. Self-hosted signifie que vos données ne quittent pas votre environnement.

Des arêtes, pas des payloads

Il enregistre les relations d’accès — quel agent peut atteindre quelle ressource, lecture seule contre lecture/écriture — pas les corps de requête, les payloads ni les secrets qui y transitent. Ce que nous ne stockons pas, nous ne pouvons pas le divulguer.

Secrets et données personnelles caviardés

Les entrées susceptibles de contenir des secrets ou des données personnelles sont caviardées et analysées à la recherche de secrets avant toute écriture. Davantage de détail est quelque chose que l’opérateur doit activer en conscience.

Observation en lecture seule

Le collecteur observe ; il n’écrit jamais dans vos bases de données et ne modifie jamais vos hôtes. Il lit des identités telles qu’un rôle ou un nom d’application — pas les valeurs des identifiants. Ce n’est pas un renifleur de données.

Aucune télémétrie sortante

Sécurisé par défaut signifie aucun appel vers nous : la télémétrie vers l’éditeur est désactivée tant que vous ne l’activez pas explicitement. Rien de votre parc ne nous est transmis.

Vous contrôlez la rétention

La rétention et la purge sont configurables, et dans les déploiements air-gapped rien ne sort jamais, un point c’est tout.

Divulgation des vulnérabilités

Signaler un problème de sécurité

Nous accueillons favorablement la divulgation coordonnée et agissons de bonne foi avec les chercheurs qui en font autant. Les découvertes portant sur le modèle de sécurité lui-même sont explicitement les bienvenues.

Signalez en privé à

security@olivares.ai

Merci de ne pas ouvrir d’issue, de pull request ou de discussion publique pour une vulnérabilité suspectée. PGP est disponible sur demande avant l’envoi des détails.

Politique complète Politique de divulgation des vulnérabilités (SECURITY.md) Contact lisible par machine /.well-known/security.txt (RFC 9116)

À quoi s’attendre

  • Accusé de réception sous 3 jours ouvrés
  • Évaluation initiale sous 10 jours ouvrés
  • Divulgation coordonnée jusqu’à 90 jours, plus tôt si un correctif est publié

Merci de ne pas envoyer

Aucun secret, identifiant ou jeton réel (caviardez-les), aucune donnée personnelle de clients ou de tiers ni dump de production, et aucune exploitation en direct de systèmes qui ne vous appartiennent pas. Décrivez l’impact sensible plutôt que de le joindre — nous mettrons en place un canal sécurisé.

Olivares AI est en pré-lancement. Il n’existe pas encore de versions étiquetées prises en charge ; les correctifs de sécurité ne sont appliqués qu’à la branche main.

Sous-traitants

Qui d’autre traite des données

Ce site web n’utilise aucun sous-traitant d’analytique, de publicité ou de suivi. C’est un site statique avec des polices self-hosted, une Content-Security-Policy stricte en même origine et sans cookies. Il est servi via un réseau de diffusion de contenu, qui ne traite que les métadonnées de connexion nécessaires à la livraison de la page — nous ne collectons aucune donnée personnelle lorsque vous naviguez.

Pour le produit lui-même : parce qu’Olivares AI est self-hosted sur votre propre infrastructure, il n’existe aucun sous-traitant côté éditeur pour vos données. Elles restent dans votre périmètre et nous ne les voyons pas. Toute offre gérée future publierait sa propre liste de sous-traitants ; aucune n’est proposée aujourd’hui.

Traitement des données

Accord de traitement des données (art. 28 du RGPD)

Un accord de traitement des données est disponible sur demande pour les achats enterprise. Parce qu’Olivares AI est self-hosted, dans la plupart des déploiements vous restez le responsable et le sous-traitant de vos propres données au sein de votre propre infrastructure ; un DPA peut néanmoins être conclu pour formaliser les responsabilités d’une relation commerciale.

Demander un DPA

Posture de conformité

Honnêtes sur notre situation actuelle

Olivares AI est en pré-lancement et n’est pas certifié au titre de SOC 2, de l’ISO/IEC 27001, du règlement européen sur l’IA ni d’aucun autre référentiel, et aucun audit n’est en cours. Nous concevons le produit pour qu’il corresponde aux contrôles que ces référentiels examinent — journalisation d’audit, contrôle d’accès, intégrité, chiffrement et gestion des changements — afin qu’il soit prêt à être audité le moment venu. La certification formelle (par exemple SOC 2 Type 2) est une étape ultérieure que l’architecture est faite pour permettre ; elle ne conditionne pas la première version.

Référentiels que nous visons par conception

  • SOC 2 / ISO 27001

    Objectifs de contrôle que nous visons par conception — non certifiés, sur la roadmap.

  • Règlement européen sur l’IA

    Conçu pour répondre à ses attentes en matière de contrôle et de documentation.

  • CSA MAESTRO

    Une méthodologie de modélisation des menaces à laquelle nous nous référons — pas une norme certifiable.

  • Menaces agentiques OWASP

    Mis en correspondance avec la liste des menaces et mesures d’atténuation agentiques.

  • Recommandations CISA / NIST

    Des recommandations, pas une norme certifiable — conception visant cet objectif, sans revendication de conformité.

Lorsque nous décrivons un alignement avec des référentiels externes, il s’agit d’une correspondance technique, pas d’une certification — et pour les normes qui ne sont pas encore finalisées, c’est un signal de conception visant cet objectif, sans aucune revendication de conformité.

Intégrité de la build

  • Les versions sont signées cryptographiquement, livrées avec une nomenclature logicielle (SBOM) et portent une provenance de build.
  • Un unique binaire statique à sécurité mémoire, dans des images de conteneur minimales et durcies.
  • Des dépendances minimales et épinglées — aucun script d’installation exécutant du code non vérifié.
  • L’analyse des dépendances et des secrets contrôle chaque changement en CI.

Ces garanties prennent effet à la première version étiquetée ; le projet est aujourd’hui en pré-alpha.

Objectifs de remédiation

  • Critique 7 jours
  • Élevée 14 jours
  • Moyenne 30 jours
  • Faible prochaine version planifiée

Notre cadence de remédiation engagée, en vigueur à la première version étiquetée. Les vulnérabilités activement exploitées sont traitées comme critiques.

Questions de confiance

Où vont mes données ?

Dans l’édition self-hosted, vos données restent au sein de votre propre infrastructure ; Olivares AI ne les reçoit pas. Le produit enregistre la carte des accès — pas les payloads, secrets ou données personnelles qui y transitent.

Êtes-vous certifiés SOC 2 ou ISO 27001 ?

Pas encore. Le produit est conçu pour correspondre aux objectifs de contrôle de SOC 2 et de l’ISO 27001 afin d’être prêt à être audité, mais la certification formelle est sur la roadmap et n’a pas été obtenue. Nous ne revendiquerons pas une certification que nous ne détenons pas.

Comment signaler une vulnérabilité de sécurité ?

Écrivez en privé à security@olivares.ai — merci de ne pas ouvrir d’issue publique. Notre politique complète figure dans SECURITY.md, liée depuis /.well-known/security.txt (RFC 9116). Nous accusons réception sous trois jours ouvrés.

Proposez-vous un DPA ?

Oui, un accord de traitement des données au titre de l’article 28 du RGPD est disponible sur demande pour les achats enterprise. Contactez enterprise@olivares.ai.

Des questions de votre équipe sécurité ou achats ?

Signalez une vulnérabilité à notre contact sécurité, ou contactez-nous pour les achats, un DPA ou une revue de sécurité.

Signaler une vulnérabilité Contacter les achats