RGPD-compliant
en productionDORA-ready
en productionDonnées dans l'UE
en productionSOC 2 Type II
Q1 2027Comment nous protégeons vos données
Quatre piliers, tous en production, tous auditables.
Chiffrement AES-256 en transit et au repos
Toutes les données sensibles, y compris les copies de pièce d'identité, factures, IBAN et identifiants d'ERP, sont chiffrées en AES-256-GCM avant de toucher le disque. Clés gérées par AWS KMS avec rotation automatique tous les 90 jours.
- TLS 1.3 sur chaque connexion · HSTS preload
- AES-256-GCM at-rest · clés rotatives AWS KMS
- Hardware security modules (HSM) pour les clés maîtres
Isolation au niveau de la base de données
Chaque tenant (banque, PME) a ses données physiquement séparées via PostgreSQL Row Level Security. Il n'est pas possible, même par SQL injection, d'accéder aux données d'un autre tenant. Toutes les requêtes passent par des RPC avec SECURITY DEFINER.
- Row Level Security (RLS) sur chaque table · default deny
- SECURITY DEFINER RPCs · tenant_id dérivé en interne
- Pen test annuel · prochain Q3 2026
Journal d'audit WORM avec 7 ans de rétention
Chaque accès, chaque modification, chaque décision de score est écrit dans un journal immuable (écriture seule) avec un hachage SHA-256 chaîné. Il est impossible de supprimer, modifier ou réordonner des entrées, pas même par Advanta. Conforme aux exigences du Banco de Portugal pour les registres comptables.
- SHA-256 chained hashing · toute modification détectée immédiatement
- S3 Object Lock · immuabilité au niveau du storage
- Exportable vers le BdP · format standard XML auditable
Souveraineté des données européenne
Toutes les données, personnelles, financières, KYC, résident sur des serveurs dans l'UE. Supabase en eu-central-1 (Frankfurt). Aucun transfert hors de l'UE en conditions normales. Compatible avec Schrems II et la réglementation post-Privacy Shield. Réplique failover en eu-west-1 (Dublin) au Q4 2026.
- Frankfurt (eu-central-1) · région primaire
- Sauvegarde chiffrée · 35 jours de rétention · Object Lock
- Failover Dublin · RPO <15 min · roadmap Q4 2026
Souveraineté des données UE · Schrems II safe · ne quitte jamais l'Union européenne
Vendor review ? Pen test ? Soumission DORA ?
Nous avons les documents prêts. Demandez le dossier de compliance et recevez-le en moins d'1 jour ouvré.