Sécurisé dès la conception
Choisissez où vos données sont hébergées, imposez le SSO et l'accès basé sur les rôles, contrôlez la publication grâce aux approbations, et gardez votre code et vos instructions hors de l'entraînement des modèles.
Contrôles de sécurité pour les entreprises
Accès et contrôle
Lovable s'intègre aux fournisseurs SAML et OIDC, notamment Okta, Azure AD et Google. SCIM prend en charge le provisionnement et le déprovisionnement automatisés. Les autorisations sont basées sur les rôles et appliquées côté serveur pour la consultation, l'édition, l'approbation et la publication.
Garde-fous pour la création et la publication
L'édition, l'approbation et la publication sont des autorisations distinctes. L'accès public est régi par le rôle et les paramètres d'environnement, ce qui permet aux équipes d'avancer rapidement sans risquer d'exposition accidentelle.
Les secrets sont gérés en toute sécurité
Les secrets sont chiffrés au repos et leur accès est contrôlé par rôle. Ils ne sont pas exposés en texte clair dans les journaux ou les interfaces. L'accès est limité aux environnements et aux actions autorisés.
Résidence des données
Lovable Cloud prend en charge l'hébergement régional des données dans l'UE, aux États-Unis et en Australie. Les données des clients restent dans la région que vous sélectionnez et ne sont pas transférées entre régions par défaut. Nous sommes transparents sur notre infrastructure et nos sous-traitants, afin que vous sachiez toujours où vos données se trouvent et comment elles sont traitées.
Vos données ne servent pas à entraîner les modèles
Nous n'utilisons pas les instructions, le code ni les données de l'espace de travail des clients pour entraîner les modèles de Lovable. Lorsque nous travaillons avec des fournisseurs d'IA, des accords contractuels limitent l'entraînement et la conservation des données des clients. Votre travail reste le vôtre.
Isolation dès la conception
Chaque espace de travail et chaque projet sont séparés logiquement. Les données client ne sont pas accessibles entre les comptes. Les limites d'environnement sont explicitement définies et évaluées avant la publication des modifications, garantissant la séparation entre le développement et la production.
Surveillance continue et détection des abus
Lovable surveille en continu l'activité de la plateforme pour détecter les usages abusifs, les comportements anormaux et les compromissions. Des systèmes automatisés appliquent des limites de débit et détectent les abus entre les utilisateurs et les espaces de travail, les activités à haut risque étant examinées par notre équipe chargée de la confiance et de la sécurité.
Analyse de sécurité automatique
Lovable effectue automatiquement une analyse de sécurité de base à chaque publication, vérifiant les configurations de base de données, les règles RLS, les paramètres du projet cloud et les schémas de mauvaise configuration connus en environ 10 à 15 secondes. Pour une couverture plus approfondie, l'analyse de sécurité approfondie est disponible à la demande et prend environ 3 minutes. Les administrateurs de l'espace de travail peuvent activer la correction automatique pour permettre à l'agent de résoudre les constats sans risque de rupture lors des analyses de base, et peuvent bloquer la publication en cas de problèmes critiques. Les espaces de travail Business et Enterprise peuvent planifier des analyses approfondies récurrentes sur tous les projets.
Infrastructure protégée
Lovable Cloud est protégé par des contrôles de pare-feu applicatif web (WAF), l'isolation réseau, le stockage chiffré des données et une limitation adaptative du débit aux niveaux de l'IP, de l'utilisateur et de l'espace de travail.
Sécurité pour les fondateurs
Tests d'intrusion par IA
Obtenez un rapport prêt pour l'audit SOC 2, ISO 27001 et les audits préalables des investisseurs, afin de prouver que votre application est sécurisée.
En savoir plus
Votre guide de la sécurité en tant que fondateur utilisant Lovable
Ce que les investisseurs recherchent réellement lors d'un audit préalable technique — et comment le réussir.
Détectez les vulnérabilités avant qu'elles ne soient exploitées
Une analyse de sécurité de base s'exécute automatiquement avant chaque publication. Lancez à la demande une analyse approfondie pilotée par l'IA pour examiner l'ensemble de votre code. Les vérifications de dépendances s'exécutent en continu en arrière-plan pendant que vous créez.
Conformité et certifications
Frequently asked questions
Où les données des clients sont-elles stockées ?
Les données des clients sont hébergées dans Lovable Cloud dans les régions prises en charge, notamment l'UE, les États-Unis et l'Australie. La résidence des données est propre à chaque région, et les données ne sont pas transférées entre régions par défaut.
Les données des clients sont-elles utilisées pour entraîner l'IA ?
Non. Les instructions, le code et les données de l'espace de travail des clients ne sont pas utilisés pour entraîner les modèles de Lovable. Lorsque des fournisseurs d'IA tiers sont utilisés, des accords contractuels limitent l'entraînement et la conservation des données des clients.
Lovable est-elle multi-locataire, et comment les données des clients sont-elles isolées ?
Lovable est une plateforme multi-locataire offrant une isolation logique entre les espaces de travail et les projets. Les données des clients ne sont pas accessibles d'un compte à l'autre. Les contrôles d'isolation sont appliqués à la fois au niveau de l'application et de l'infrastructure.
Quels sous-traitants Lovable utilise-t-elle ?
Lovable fait appel à un nombre limité de sous-traitants d'infrastructure et d'IA. Tous les sous-traitants sont couverts par des accords contractuels de protection des données. Une liste à jour des sous-traitants est disponible sur demande.
Lovable accède-t-elle à notre code source ou le clone-t-elle ?
Non. Lovable ne clone pas les dépôts Git des clients, n'accède pas au code applicatif au sein de vos environnements et ne nécessite aucun accès interne à la CI/CD. Votre code source, vos dépôts et votre infrastructure de production restent à l'intérieur du périmètre de sécurité existant de votre organisation. Lovable ne déploie pas d'agents dans les environnements de production des clients et n'introduit aucune connexion réseau entrante.
Lovable nécessite-t-elle un accès à nos pipelines CI/CD ou à notre infrastructure de production ?
Non. Lovable ne nécessite pas d'accès direct aux pipelines CI/CD ou à l'infrastructure de production des clients. Elle ne déploie pas d'agents dans les environnements de production et n'introduit aucune connexion réseau entrante. Toutes les intégrations fonctionnent dans des limites d'autorisations définies.
Comment les contrôles de publication sont-ils appliqués ?
Les autorisations de publication sont appliquées côté serveur et ne peuvent pas être contournées par des requêtes côté client. L'édition, l'approbation et la publication sont des autorisations distinctes basées sur les rôles. La publication en production peut exiger une approbation explicite, et tous les événements de publication sont enregistrés avec l'identité de l'utilisateur.
Comment Lovable applique-t-elle le contrôle d'accès basé sur les rôles (RBAC) ?
Lovable s'intègre aux fournisseurs d'identité SAML et OIDC et prend en charge SCIM pour le provisionnement et le déprovisionnement automatisés. L'accès est basé sur les rôles, avec des autorisations explicitement définies pour la consultation, l'édition, l'approbation et la publication. Toutes les vérifications d'autorisation sont évaluées côté serveur au moment de la requête.
Lovable prend-elle en charge l'accès au moindre privilège ?
Oui. Lovable prend en charge l'accès au moindre privilège grâce à des autorisations basées sur les rôles et à l'intégration avec les fournisseurs d'identité d'entreprise. Les organisations peuvent définir des rôles granulaires pour l'édition, l'approbation et la publication, garantissant que les utilisateurs ne reçoivent que l'accès nécessaire à leurs responsabilités. Les politiques d'accès sont alignées sur les paramètres d'identité de l'organisation et de configuration des espaces de travail.
Comment les secrets et les identifiants d'API sont-ils gérés ?
Les secrets sont chiffrés au repos et limités à des environnements spécifiques. L'accès aux secrets est contrôlé par rôle et auditable. Les secrets peuvent être renouvelés ou révoqués sans nécessiter un redéploiement complet du système. Les intégrations s'exécutent dans des limites d'autorisations prédéfinies afin de réduire l'exposition involontaire des identifiants.
Lovable effectue-t-il des analyses de sécurité automatisées ?
Oui. Une analyse de sécurité de base s'exécute automatiquement à chaque publication, couvrant les configurations de base de données, les politiques RLS et les paramètres du projet cloud (environ 10 à 15 secondes). Une analyse de sécurité approfondie est disponible à la demande et analyse l'intégralité de votre base de code (environ 3 minutes). Les administrateurs de l'espace de travail peuvent activer la correction automatique pour que l'agent résolve automatiquement les constats sans risque de rupture, et peuvent configurer le blocage de la publication en cas de problèmes critiques. Les vérifications des dépendances s'exécutent en continu en arrière-plan à chaque modification. Les administrateurs Business et Enterprise peuvent planifier des analyses approfondies récurrentes sur tous les projets de l'espace de travail.
Lovable est-il conforme aux normes SOC 2 et RGPD ?
Lovable répond aux exigences SOC 2 et RGPD et fournit une documentation de sécurité ainsi que des accords de protection des données pour examen par les entreprises.
