Chargement des surfaces sécurisées de projet, livraison et preuves de lancement.
Chargement des surfaces sécurisées de projet, livraison et preuves de lancement.
Notes mensuelles sur les équipes d'ingénierie nearshore, la qualité CAO et documentation, les contrôles de livraison et les actualités QENVEX.
Vue sécurité
QENVEX utilise accès authentifié, routes par rôle, lectures data avec RLS et proxies de fichiers protégés.
L'authentification passe par Supabase Auth hébergé. Les pages workspace et admin vérifient la session côté serveur avant d'afficher le contenu protégé.
Les expériences client, ingénieur, admin et super-admin sont séparées par protection de routes et contrôles app_metadata pour les actions admin de confiance.
Les données workspace sont lues depuis Supabase avec row-level security activée et des politiques autour du client, des membres projet et des admins.
Les routes de download/preview workspace et admin revérifient l'accès avant de servir les fichiers, sans URLs publiques pour les documents sensibles.
Les actions importantes créent des lignes d'activité, notifications workspace et emails transactionnels best-effort lorsque les politiques le permettent.
Les checks de production vérifient variables requises, Supabase hébergé, santé des routes publiques, builds production et advisors Supabase live.
La posture sécurité est plus forte lorsque chaque contrôle a un détail d'implémentation et une vérification de lancement.
| Zone de contrôle | Implémentation | Vérification |
|---|---|---|
| Identité et session | Supabase Auth hébergé, contrôles utilisateur côté serveur, callbacks localisés et rôles app_metadata de confiance pour admin et ingénieur. | Smoke login, invitation, recovery, workspace, admin et redirections signed-out avant promotion production. |
| Autorisation base de données | Les politiques Supabase RLS séparent visibilité client, ingénieur, admin et super-admin pendant que les actions service-role restent côté serveur. | Exécuter advisors Supabase hébergés, inspecter les parcours par rôle et confirmer les comptes data via le rapport admin. |
| Livraison fichiers privés | Les fichiers projet et PDF facture utilisent des objets Cloudflare R2 privés avec proxies authentifiés et contrôles de lignes Supabase. | Smoke upload, preview, download, remplacement, PDF facture, notification et activity_log après provisionnement des buckets R2. |
| Protection des écritures publiques | Cloudflare Turnstile, guards runtime locaux, limites de payload et règles WAF/rate-limit planifiées protègent les APIs d'entrée. | Confirmer que les soumissions normales passent, les gros payloads sont rejetés et les abus répétés sont challengés ou bloqués au edge. |
| Preuves opérationnelles | Readiness admin, rapports delivery, santé CRM, activity logs, notifications et exports donnent une preuve revuable aux opérateurs. | Télécharger les rapports JSON, Markdown et CSV, exécuter la gate locale et attacher smoke live plus preuves provider à la revue. |
QENVEX peut parcourir accès workspace, gestion de fichiers et gates de lancement pendant l'onboarding.
Nous contacter