Security Shield & conformité
Comment le Security Shield supporte le RGPD, SOC 2 et les exigences d'audit enterprise.
Piste d'audit immuable
La table security_events est en écriture seule par conception. Un trigger base de données lève une exception sur toute tentative d'UPDATE ou DELETE, même depuis des requêtes superutilisateur. Cela produit un journal inviolable de chaque événement de sécurité : type de menace, score, action prise, hash du prompt, modèle utilisé et IP client.
Hash du prompt
Le shield stocke un hash SHA-256 du prompt, pas le prompt lui-même. Cela permet de vérifier qu'un événement est associé à une requête spécifique sans stocker le contenu brut, réduisant votre empreinte de conservation de données RGPD.
RGPD
- Détection PII : Le shield signale les emails, numéros de téléphone, IBANs et identifiants fiscaux avant qu'ils n'atteignent le modèle. En mode block, cela empêche les données personnelles d'être envoyées à des fournisseurs de modèles tiers.
- Rétention : Chaque workspace peut configurer un champ retention_days dans sa config de sécurité. Une tâche planifiée purge automatiquement les événements plus anciens que cette fenêtre. Défaut : 90 jours.
- Minimisation des données : Seul le hash SHA-256 du prompt est stocké, pas le texte intégral.
SOC 2 Type II
Le Security Shield couvre plusieurs contrôles SOC 2 :
- CC6.1 (Contrôles d'accès logique), règles IP allowlist
- CC6.6 (Périmètres d'accès logique), blocage injection empêche la substitution d'instructions non autorisée
- CC7.2 (Surveillance système), intégration webhook SIEM pour la surveillance continue
- CC7.4 (Réponse aux incidents), security_events fournit les preuves pour la reconstruction d'incidents
Export des événements
Exportez les événements de sécurité pour toute plage de dates en JSON ou CSV depuis Dashboard → Guardian → Security Shield → Export, ou via l'API. L'export CSV est en streaming, pas de limite de taille.
Configuration de la rétention
curl -X POST https://app.hiway2llm.com/api/v1/workspaces/WS_ID/security/config \
-H "Authorization: Bearer hw_live_YOUR_KEY" \
-H "Content-Type: application/json" \
-d '{"mode": "block", "threshold": 0.85, "retention_days": 30}'