Data Security

Embases ne stocke jamais vos données source. Ce document détaille ce qui est stocké, comment c'est protégé, et comment vous pouvez révoquer tout accès instantanément.

Zéro donnée source stockée

Les données issues de vos bases Notion, Airtable ou Google Sheets ne sont jamais écrites dans notre base de données. Embases les récupère à la demande (quand vous cliquez sur Rafraîchir) et les envoie directement au navigateur du visiteur — rien n'est mis en cache, rien n'est conservé après le rendu.

Récupération à la demande uniquement — jamais lors d'une synchronisation en arrière-plan.
Aucun cache intermédiaire : les données disparaissent dès que le graphique est affiché.
Pas de copie de sauvegarde : même un incident côté Embases ne peut pas compromettre vos données source.
Source opaque pour le visiteur : un embed expose uniquement les colonnes nécessaires au graphique, jamais la base entière.

Ce qu'Embases stocke

Quatre catégories de données sont effectivement persistées en base. Aucune n'inclut le contenu de vos sources.

Catégorie	Contenu stocké	Protection
Tokens OAuth	Notion, Airtable, Sheets — token de connexion	Chiffré AES-256-GCM au repos
Configs d'embeds	Type de graphique, couleurs, colonnes, ID de source	Aucun contenu de données
Profil & workspaces	Email, nom, membres, rôles	Isolation stricte par workspace
Tokens d'accès embed	Tokens pour embeds privés et invitations	Hashés SHA-256 avant insertion

Chiffrement et hachage

Les données sensibles stockées en base sont systématiquement chiffrées ou hachées avant écriture. Un accès direct à la base de données (breach) ne suffit pas à récupérer les tokens en clair.

Algorithme	Appliqué à	Garantie
AES-256-GCM	Tokens OAuth (Notion, Airtable, Sheets)	Confidentialité + intégrité — clé hors DB
SHA-256	Tokens d'accès embed, tokens d'invitation	Hachage unidirectionnel — irréversible
TLS 1.3	Tout le trafic HTTPS	Chiffrement en transit, suites obsolètes supprimées

À noter : L'équipe Embases ne peut pas lire vos tokens OAuth en clair — ils sont chiffrés avec une clé distincte de la base de données.

Protection des sessions

Les cookies de session sont configurés pour résister aux attaques XSS et CSRF les plus courantes, sans configuration de votre côté.

HttpOnly : les cookies de session sont inaccessibles aux scripts JavaScript — un malware injecté dans la page ne peut pas les lire.
SameSite=Lax : les cookies ne sont pas envoyés dans les requêtes cross-site non initiées par l'utilisateur — protection native contre le CSRF.
Secure : les cookies ne transitent que sur HTTPS — jamais en clair sur HTTP.
Durée de session configurable : les tokens d'accès embed expirent automatiquement selon la durée choisie (7, 30 ou 90 jours).

Révocation instantanée

Chaque connexion OAuth et chaque token d'accès embed peut être révoqué individuellement. La révocation est immédiate — il n'y a aucun délai de propagation.

1Déconnecter une intégration (Notion, Airtable, Sheets) supprime le token OAuth chiffré immédiatement de la base.
2Embases n'a plus aucun accès à votre source dès la déconnexion — aucun résidu, aucun délai.
3Révoquer un token d'accès embed invalide le lien tokenisé au prochain chargement (HTTP 403).
4Les tokens d'invitation workspace expirent automatiquement au bout de 7 jours s'ils ne sont pas utilisés.

Isolation et RBAC workspace

Les tokens OAuth sont liés à votre compte personnel — pas au workspace. Aucun autre membre (ni même un owner) ne peut voir, lister ou utiliser vos connexions. L'accès aux ressources d'un workspace suit une vérification en trois étapes à chaque requête.

1Authentification : la session est vérifiée via le cookie HttpOnly signé par Better Auth.
2Vérification d'appartenance : getMember(workspaceId, userId) confirme que l'utilisateur est bien membre du workspace demandé.
3Isolation du scope : toutes les requêtes DB sont filtrées par workspaceId — aucun accès croisé possible entre workspaces.