Sécurité

Tes données ne sortent jamais de chez toi

Quantara ne se connecte à aucun broker, ne stocke aucun token d'API, et chaque utilisateur est strictement isolé par les Row Level Security policies Postgres. Hébergement EU, RGPD-compliant.

100%

données isolées par RLS

0

token broker stocké

EU

hébergement Frankfurt

TLS 1.3

chiffrement obligatoire

◫Architecture

Frontend

Next.js 14 App Router · React 18 · hébergé sur Vercel (Frankfurt EU)

Backend & DB

Supabase (Postgres 15) · région Frankfurt EU · backups automatiques quotidiens

Auth

Supabase Auth · JWT signés HS256 · tokens dans localStorage/sessionStorage (au choix user via toggle "Rester connecté")

CDN

Vercel Edge Network · TLS 1.3 obligatoire · HSTS activé

◐Isolation des données

Row Level Security (RLS)

Chaque table Postgres (firms, accounts, payouts, journal_entries, profiles) a une policy RLS qui force auth.uid() = user_id sur lecture ET écriture. Un user ne peut JAMAIS voir/modifier les données d'un autre.

Defensive client filtering

En plus de RLS, chaque query côté client ajoute un filtre .eq('user_id', userId) explicite. Ceinture + bretelles.

Cascade delete

Suppression d'un compte ou d'un user → cascade automatique sur toutes les data liées (trades, payouts). Conservation 0 jour après suppression.

Pas de service_role côté client

La clé service_role (bypass RLS) reste UNIQUEMENT côté serveur dans les endpoints /api/admin. Le client utilise toujours la clé anon (RLS forced).

△Protection contre les bots

Cloudflare Turnstile

Captcha invisible sur signup ET login. Bloque ~99% du trafic bot sans friction utilisateur.

Honeypot

Champ invisible piégé dans le formulaire d'inscription. Si rempli (= bot), inscription rejetée silencieusement.

Rate limiting Supabase

Supabase limite les tentatives d'auth (5 req/min par IP par défaut) pour bloquer le brute force.

◇Aucun accès broker

Zero credentials brokers

Quantara ne se connecte à AUCUN broker. On ne demande JAMAIS ton mot de passe Rithmic, Tradovate, NinjaTrader, etc.

Import CSV manuel uniquement

Tu exportes manuellement un CSV depuis ton broker (Rithmic Performance ou Dashboard) et tu le glisses dans /app/import-lab. Tu gardes le contrôle total.

Pas d'API key stockée

Aucun token broker n'est stocké en DB. L'app n'a aucune capacité de trader pour toi.

◊Conformité & légal

GDPR / RGPD

Quantara Technologies LLC est conforme RGPD. Données hébergées en EU (Frankfurt). Droit d'accès, rectification, suppression, portabilité accessibles via contact@quantara.tech.

Cookies

Aucun cookie de tracking. Uniquement cookies fonctionnels (session Supabase, préférences). Voir /legal/privacy#cookies.

Suppression de compte

À ta demande par email, ton compte + toutes tes données sont supprimés sous 7 jours ouvrés. Pas de soft-delete : c'est définitif.

◉Bonnes pratiques côté toi

Mot de passe fort

Min 8 caractères imposé. Recommandation : 12+ avec mélange lettres/chiffres/symboles. Utilise un gestionnaire (Bitwarden, 1Password).

"Rester connecté"

Décoche cette option sur un appareil partagé pour que la session soit effacée à la fermeture du navigateur.

Vérifie ton URL

Quantara n'envoie JAMAIS d'email demandant ton mot de passe. Vérifie toujours que tu es bien sur quantara.tech (pas un fake).

Tu as trouvé une faille ?

Programme de divulgation responsable. Écris à security@quantara.tech avec les détails. On répond sous 48h. Pas de bug bounty cash actuellement mais on fait des shoutouts publics + crédits Quantara à vie.

Reporter une faille