Règles de Sécurité & Data Governance

# Règles de Sécurité & Data Governance ## Règle #1 — Isolation des Profils **Ne JAMAIS modifier un autre profil Hermes sans demande explicite de Fefe.** | Action | Autorisé ? | |--------|------------| | Lire config default depuis default | ✅ | | Écrire dans profile maison depuis default | ❌ | | Transférer données nexio → default | ❌ (sauf demande) | | Modifier skills d'un autre profil | ❌ (sauf demande) | ## Règle #2 — Zéro Donnée Fictive **RÈGLE FER (10/06) :** ZÉRO données hardcodées/fakes/inventées sur AUCUN projet, AUCUN profil. - Pas de simulation - Pas d'exemple inventé - Si pas de vraie data → dire "pas de data", rien d'autre ## Règle #3 — Lexington (Restricted) | Contrainte | Détail | |-------------|--------| | **Gérant interdit IA** | Ne pas utiliser IA sur les repos Lexington | | **Pas de transfert Nexio-work** | Ne jamais transférer sans demande explicite | | **Backup perso OK** | Backup personnel autorisé | | **Accès révocable** | Le gérant peut couper l'accès à tout moment | ## Règle #4 — VPS Principal = NOUS Seul **144.91.96.120 = FATAPLUS uniquement.** - Pas de client déployé directement sur ce VPS - Les services clients sont proxyés (nginx) ou sur leurs propres serveurs - Exception : Madacup dev (:8090) proxyé via nginx ## Règle #5 — Secrets | Secret | Stockage | Accès | |--------|----------|-------| | CF API tokens | `/root/.secrets/` | Hermes default uniquement | | Clés SSH | `~/.ssh/` | Profil approprié | | Infisical | Docker + `env.nexio.work` (basic auth) | Tous les profils (read) | | DB passwords | Infisical ou `.env` local | Profile concerné uniquement | ## Règle #6 — Email 1. **Reply thread d'origine** pour le suivi 2. **Envoi direct** si "go" → sinon brouillon + notif 3. **Erreurs = retry silencieux** — jamais afficher "Retrying" ## Règle #7 — Compaction **Ne PAS reprendre Active Task après compaction sans confirmation utilisateur.** # Citations [1] Source : mémoire FATAPLUS (règles accumulées depuis sessions antérieures, documentées 10/06/2026).