v2 all Effective: February 2026

Déclaration de sécurité

Date d'entrée en vigueur : 13 février 2026

Dernière mise à jour : 13 février 2026

Résumé

BlackLab Studio met en oeuvre des mesures techniques et organisationnelles appropriées pour protéger les données de ses Utilisateurs et la sécurité de sa Plateforme, conformément à l'art. 8 nLPD et à l'art. 32 RGPD. L'infrastructure est hébergée sur un serveur dédié en Suisse. Les mots de passe sont chiffrés (bcrypt), les sessions sont protégées par JWT et CSRF, et les fichiers audio de mastering sont supprimés immédiatement après traitement. La Plateforme n'utilise aucun outil de suivi tiers. BlackLab Studio encourage le signalement responsable de vulnérabilités.

1. Engagement

BlackLab Studio s'engage à protéger la confidentialité, l'intégrité et la disponibilité des données traitées sur sa Plateforme. La sécurité est intégrée dès la conception (privacy by design) et par défaut (privacy by default), conformément aux principes de la nLPD et du RGPD.

2. Mesures techniques

2.1 Infrastructure

Mesure	Description
Hébergement	Serveur dédié en Suisse [TODO À CONFIRMER : hébergeur exact]
Isolation	Serveur non mutualisé (dédié), pas de colocation de données avec d'autres clients
Localisation	Données hébergées exclusivement en Suisse
Architecture	Application unique (FastAPI) servant l'ensemble des sous-domaines

2.2 Authentification et contrôle d'accès

Mesure	Description
Mots de passe	Hachés avec bcrypt (avec salage), jamais stockés en clair
Sessions	JWT (JSON Web Token) avec durée de validité limitée (7-30 jours)
Protection CSRF	Jetons CSRF sur les requêtes sensibles (durée : 24 heures)
Clés API	Clés dédiées pour l'accès API, avec rate limiting
Rate limiting	100 requêtes/minute par IP, 1 000 requêtes/heure par clé API

2.3 Traitement des données audio

Mesure	Description
Mastering	Fichiers traités en temps réel, supprimés immédiatement après traitement
Pas de stockage	Aucun fichier audio de mastering n'est conservé sur les serveurs
Dédoublonnage	Seul un hash SHA-256 est conservé (empreinte irréversible)
Taille max	200 Mo (mastering), 500 Mo (marketplace)

2.4 Stockage côté client

Élément	Type	Contenu	Sensibilité
`access_token`	Cookie HTTP	Jeton d'authentification JWT	Élevée
`csrf_token`	Cookie HTTP	Jeton anti-CSRF	Moyenne
`bl_token`	localStorage	Jeton d'authentification	Élevée
`bl_user`	localStorage	Données utilisateur (affichage)	Faible
`bl_cart`	localStorage	Contenu du panier	Faible

2.5 Absence de suivi

BlackLab Studio n'utilise aucun outil d'analytique ou de suivi tiers (pas de Google Analytics, pas de pixels publicitaires, pas de trackers comportementaux).

3. Mesures organisationnelles

3.1 Journalisation

Type de journal	Durée de conservation	Finalité
Journaux d'audit	7 ans	Traçabilité des opérations, conformité légale
Journaux techniques	90 jours	Diagnostic, détection d'incidents, sécurité

3.2 Minimisation des données

BlackLab Studio applique le principe de minimisation : seules les données strictement nécessaires au fonctionnement des Services sont collectées et traitées. Voir notre Politique de confidentialité pour le détail des données collectées.

3.3 Conservation limitée

Les durées de conservation sont définies et respectées :

Données de compte : durée du compte + 1 an après suppression ;
Données de paiement : 10 ans (obligation comptable suisse, art. 958f CO) ;
Fichiers mastering : suppression immédiate après traitement.

3.4 Accès restreint

L'accès aux données et aux systèmes est limité au personnel autorisé de BlackLab Studio. Les sous-domaines admin.blacklab.studio et ops.blacklab.studio sont à accès restreint.

4. Gestion des incidents

4.1 Détection

BlackLab Studio surveille sa Plateforme pour détecter les incidents de sécurité (accès non autorisés, tentatives d'intrusion, comportements anormaux).

4.2 Réponse

En cas d'incident de sécurité :

Containment : isolation immédiate de la menace ;
Évaluation : analyse de l'étendue et de l'impact ;
Notification : information des autorités compétentes et des personnes concernées conformément à la nLPD (art. 24) et au RGPD (art. 33-34) ;
Remédiation : correction de la vulnérabilité et renforcement des mesures ;
Documentation : documentation complète de l'incident.

4.3 Délais de notification

PFPDT (Suisse) : dans les meilleurs délais en cas de risque élevé pour les personnes concernées (art. 24 nLPD) ;
Autorité de contrôle UE : dans les 72 heures suivant la prise de connaissance (art. 33 RGPD) ;
Personnes concernées : sans délai indu si le risque élevé est confirmé.

5. Signalement responsable de vulnérabilités

5.1 Invitation

BlackLab Studio encourage le signalement responsable de vulnérabilités de sécurité (responsible disclosure). Si vous découvrez une faille de sécurité, nous vous remercions de nous en informer de manière confidentielle.

5.2 Comment signaler

Adressez votre signalement à support@blacklab.studio [TODO À CONFIRMER : adresse security@blacklab.studio dédiée] avec :

une description détaillée de la vulnérabilité ;
les étapes pour la reproduire ;
l'impact potentiel estimé ;
vos coordonnées pour un retour.

5.3 Engagements

BlackLab Studio s'engage à :

accuser réception dans un délai de 5 jours ouvrables ;
ne pas engager de poursuites contre les personnes signalant de bonne foi une vulnérabilité, sous réserve qu'elles n'aient pas exploité la faille, accédé à des données non autorisées ou causé de dommage ;
traiter le signalement de manière confidentielle ;
informer le signalant de la résolution.

5.4 Règles

Le signalement responsable implique :

ne pas exploiter la vulnérabilité au-delà de ce qui est nécessaire pour la démontrer ;
ne pas accéder, modifier ou supprimer les données d'autres Utilisateurs ;
ne pas divulguer publiquement la vulnérabilité avant sa correction ;
ne pas utiliser d'outils automatisés susceptibles de compromettre la disponibilité du service.

6. Limites

6.1 Phase bêta

La Plateforme étant en phase bêta, certaines mesures de sécurité sont encore en cours de renforcement. BlackLab Studio ne garantit pas l'absence totale de vulnérabilités, mais s'engage à les corriger promptement.

6.2 Responsabilité partagée

La sécurité repose également sur les Utilisateurs, qui doivent :

utiliser des mots de passe robustes et uniques ;
ne pas partager leurs identifiants ou clés API ;
signaler immédiatement toute activité suspecte ;
maintenir leur terminal et navigateur à jour.

7. Contact

Sécurité	support@blacklab.studio [TODO À CONFIRMER : security@blacklab.studio]
Protection des données	privacy@blacklab.studio
Support	support@blacklab.studio

La présente Déclaration de sécurité complète nos Conditions Générales d'Utilisation et notre Politique de confidentialité.

Security Statement

Effective Date: February 13, 2026

Last Updated: February 13, 2026

Summary

This Security Statement describes the technical and organizational measures BlackLab Studio implements to protect the Platform, its data, and its Users. All data is hosted on a dedicated server in Switzerland. We use JWT-based authentication, bcrypt password hashing, CSRF protection, and role-based access controls. Audio files submitted for mastering are processed in real-time and deleted immediately -- they are not stored. We retain audit logs for 7 years and technical logs for 90 days. The Platform does not use analytics trackers or third-party tracking. We follow a privacy-by-design and security-by-design approach. While no system can guarantee absolute security, BlackLab Studio takes reasonable measures to protect against unauthorized access, data breaches, and service disruptions. Security concerns should be reported to support@blacklab.studio.

1. Infrastructure

1.1 Hosting

Server Type: Dedicated server (not shared hosting)
Location: Switzerland
Provider: [TODO TO BE CONFIRMED: hosting provider name and certifications]

1.2 Architecture

The Platform is a single FastAPI application serving eight subdomains: blacklab.studio, app.blacklab.studio, market.blacklab.studio, api.blacklab.studio, developers.blacklab.studio, admin.blacklab.studio, ops.blacklab.studio, token.blacklab.studio.
All subdomains are served from the same application, reducing attack surface compared to distributed microservice architectures.

2. Authentication and Access Control

2.1 User Authentication

Method: JWT (JSON Web Token)-based authentication
Token Lifetime: Configurable, 7 to 30 days
Password Storage: bcrypt hashing (passwords are never stored in plaintext)
CSRF Protection: CSRF tokens rotated every 24 hours

2.2 Session Management

Authentication tokens are stored as HTTP cookies (access_token) and in localStorage (bl_token);
Sessions can be invalidated by the User (logout) or by the Platform (token revocation).

2.3 API Authentication

Developer API access requires API keys issued through the developer portal;
API keys are unique, confidential, and revocable;
Rate limits enforce: 100 requests per minute per IP address, 1,000 requests per hour per API key.

2.4 Access Control

Role-based access control (RBAC) is implemented across the Platform;
Administrative interfaces (admin.blacklab.studio, ops.blacklab.studio) are restricted to authorized personnel.

3. Data Protection

3.1 Data in Transit

All connections to the Platform are encrypted via TLS/HTTPS;
Unencrypted HTTP connections are redirected to HTTPS.

3.2 Data at Rest

Platform data is stored on the dedicated server in Switzerland;
[TODO TO BE CONFIRMED: disk encryption, database encryption, or other at-rest encryption measures.]

3.3 Audio File Handling

Audio files submitted for AI Mastering are processed in real-time;
Files are deleted immediately after the mastered output is returned to the User;
Audio files are not stored on the server beyond the processing session;
A SHA-256 hash of each file is retained for deduplication purposes only; the hash cannot be used to reconstruct the original file.

3.4 File Upload Limits

Marketplace uploads: Maximum 500 MB per file;
Mastering uploads: Maximum 200 MB per file.

4. Logging and Monitoring

4.1 Audit Logs

Record significant account actions, payment events, and administrative operations;
Retained for 7 years in compliance with Swiss legal obligations;
Access to audit logs is restricted to authorized personnel.

4.2 Technical Logs

Record requests, errors, and system events;
Include IP addresses, user-agents, timestamps, and endpoints accessed;
Retained for 90 days;
Used for debugging, security analysis, and abuse detection.

4.3 No Third-Party Analytics

We do not use Google Analytics, Matomo, Mixpanel, or any similar analytics platform;
We do not use advertising pixels, tracking beacons, or retargeting technologies;
We do not share log data with third parties, except where required by law.

5. Third-Party Services

The Platform connects to only three external services:

Service	Purpose	Security Posture
PayPal	Payment processing	PCI-DSS Level 1 certified; regulated by CSSF (Luxembourg)
Google Fonts	Font delivery	Google infrastructure with industry-standard security
unpkg.com	JavaScript library delivery	CDN backed by Cloudflare

No personal data beyond what is technically necessary (IP address, user-agent for CDN requests; email and transaction data for PayPal) is shared with these services.

6. Incident Response

6.1 Data Breach Response

In the event of a security incident or personal data breach, BlackLab Studio will:

Contain the incident and assess its scope;
Notify the relevant supervisory authority within 72 hours of becoming aware of a breach likely to result in a risk to individuals' rights (Art. 24 nFADP; Art. 33 GDPR);
Notify affected Users without undue delay if the breach is likely to result in a high risk to their rights and freedoms (Art. 24(4) nFADP; Art. 34 GDPR);
Investigate the root cause and implement remediation measures;
Document the incident in the audit log, including facts, effects, and remedial actions taken.

6.2 Reporting Security Issues

If you discover a security vulnerability or suspect a security incident, please report it to:

Email: support@blacklab.studio

Subject Line: Security Report - [Brief Description]

We ask that you:

Report vulnerabilities responsibly and confidentially;
Provide sufficient detail for us to reproduce and verify the issue;
Not exploit the vulnerability beyond what is necessary to demonstrate it;
Not access or modify other Users' data;
Allow reasonable time for us to address the issue before public disclosure.

[TODO TO BE CONFIRMED: whether a formal bug bounty or vulnerability disclosure program will be established.]

7. Development Practices

The Platform is built on FastAPI (Python), which benefits from type safety and automatic input validation;
Dependencies are reviewed and updated regularly;
[TODO TO BE CONFIRMED: code review practices, CI/CD pipeline security measures, dependency scanning.]

8. Business Continuity

[TODO TO BE CONFIRMED: backup frequency, backup location, disaster recovery procedures, RTO/RPO targets.]
During the beta period, service availability is not guaranteed. See the Terms of Service, Section 14 (Limitation of Liability).

9. Compliance

BlackLab Studio's security measures are designed to comply with:

Swiss Federal Act on Data Protection (nFADP) -- Art. 8 (Data security);
Ordinance on Data Protection (DPO) -- Art. 1-5 (Technical and organizational measures);
General Data Protection Regulation (GDPR) -- Art. 32 (Security of processing);
Swiss Code of Obligations (CO) -- Art. 958f (Accounting record retention).

10. Limitations

While BlackLab Studio takes reasonable and appropriate measures to protect the Platform and User data, no system is completely immune to security threats. We cannot guarantee:

Absolute protection against all forms of attack;
Uninterrupted availability of the Platform;
That no data will ever be compromised.

Users are responsible for maintaining the security of their own credentials, devices, and networks.

11. Related Documents

12. Contact

For security-related questions or to report a vulnerability:

Email: support@blacklab.studio

BlackLab Studio

[TODO TO BE CONFIRMED: full postal address]

Switzerland

This Security Statement is effective as of February 13, 2026.