La confiance, by design. Auditée par défaut.
Hébergé en UE, signé cryptographiquement, conçu pour les régulateurs qui regardent vraiment. Consultez les contrôles, demandez les rapports.
- Hébergement UE
- Signatures cryptographiques
- Conforme RGPD
Ce que nous avons, ce que nous obtenons, ce qui suit.
SOC 2 Type II
En coursAudit indépendant de nos contrôles de sécurité, disponibilité et confidentialité. En cours avec notre auditeur.
ISO 27001
En coursSystème de management de la sécurité de l’information aligné ISO/IEC 27001. Préparation Stage 1 en cours.
TISAX
Feuille de routeÉvaluation de la chaîne d’approvisionnement automobile. Inscrit pour le prochain cycle de conformité.
Conforme RGPD
ObtenuHébergement UE, DPA article 28, CCT module 2, suppression sous 30 jours. Conforme par défaut.
Hébergement UE
ObtenuLes données client sont traitées et stockées exclusivement dans l’UE — Francfort en primaire, Amsterdam en secours.
Test d’intrusion annuel
En coursTest offensif de sécurité de l’application en production par un tiers. Synthèse disponible sur demande après chaque cycle.
Quatre promesses sur chaque passeport.
Défense à chaque couche.
Chiffrement en transit et au repos, mTLS plus OAuth 2 entre services, et journal d’audit signé cryptographiquement pour chaque événement de passeport.
Données européennes, règles européennes.
Traitement conforme RGPD, hébergement UE et clés de chiffrement gérées par le client (BYOK) pour le plan Enterprise.
Conçu pour rester en ligne.
SLA 99,95 % sur Operator, 99,99 % sur Enterprise. Actif-actif entre Francfort et Amsterdam. Page de statut publiée en temps réel.
Aucune surprise.
DPA public et ce Trust Center. Changements de sous-traitants notifiés 30 jours à l’avance. Tout incident publié sous cinq jours ouvrés.
Les contrôles derrière les promesses.
Chiffrement en transit
TLS 1.2+ sur tous les endpoints publics. mTLS entre services internes avec certificats à courte durée.
Chiffrement au repos
AES-256 pour bases de données, blob storage et sauvegardes. Clés par locataire avec rotation documentée.
Identité & accès
Identité Clerk, OAuth 2 / OpenID Connect, SSO et SCIM sur le plan Enterprise.
Isolation réseau
VPC par environnement sans endpoints publics. Sortie en liste blanche, entrée filtrée en bordure.
Journalisation d’audit
Trail d’audit signé cryptographiquement en append-only. Historique de révisions immuable pour chaque passeport.
Clés gérées par le client
Les clients Enterprise peuvent utiliser leurs propres clés (BYOK) pour le chiffrement au repos, avec rotation selon leur calendrier.
Vos données restent en Europe.
Les données client sont traitées et stockées exclusivement à l’intérieur de l’Union européenne. Aucune copie, réplique ou sauvegarde ne quitte la région — ni pour l’analytique, ni pour le support, ni pour le secours.
Siège suisse, hébergement UE : la combinaison que la plupart des équipes achats européennes demandent. Les transferts transfrontaliers au titre de l’article 44 RGPD sont régis par les CCT de l’UE (2021/914), module 2, avec notre DPA standard.
Région de production primaire pour le compute, le stockage et les journaux d’audit. Sert tout le trafic client par défaut.
Région hot-standby pour la réplication synchrone et le basculement automatique à l’intérieur de l’UE.
Tout ce que les équipes achats et sécurité demandent.
| Document | Statut | Dernière mise à jour | Action |
|---|---|---|---|
| Rapport SOC 2 Type II | En cours | En cours | Demander le statut |
| Certificat ISO 27001 | En cours | En cours | Demander le statut |
| Synthèse de test d’intrusion | Sur demande | NDA requis | Demander |
| Liste des sous-traitants | Public | Mise à jour continue | Voir sur /dpa |
| Accord de traitement de données (DPA) | Public | Mai 2026 | Voir sur /dpa |
| Politique de confidentialité | Public | Mai 2026 | Voir la confidentialité |
| Livre blanc d’architecture | Sur demande | NDA requis | Demander |
- Rapport SOC 2 Type IIEn coursDernière mise à jourEn coursDemander le statut
- Certificat ISO 27001En coursDernière mise à jourEn coursDemander le statut
- Synthèse de test d’intrusionSur demandeDernière mise à jourNDA requisDemander
- Liste des sous-traitantsPublicDernière mise à jourMise à jour continueVoir sur /dpa
- Accord de traitement de données (DPA)PublicDernière mise à jourMai 2026Voir sur /dpa
- Politique de confidentialitéPublicDernière mise à jourMai 2026Voir la confidentialité
- Livre blanc d’architectureSur demandeDernière mise à jourNDA requisDemander
Les documents marqués « En cours » sont préparés avec notre auditeur. Les documents sous NDA sont envoyés sous deux jours ouvrés après une demande écrite d’un contact achats ou sécurité nommé.
Vous avez trouvé une faille ? Dites-le-nous en premier.
Dans le périmètre : l’application en production, les données client et nos API publiques. Hors périmètre : les services tiers dont nous dépendons (Clerk, Convex, Google) — à signaler directement au fournisseur.
Signalez par e-mail à l’adresse ci-dessous. Les envois chiffrés PGP sont les bienvenus — demandez la clé publique dans le premier message.
Accusé de réception sous 72 heures, triage sous cinq jours ouvrés, objectif de correctif pour les findings critiques sous quatorze jours.
Safe harbour : nous n’engageons pas d’action légale contre les chercheurs de bonne foi qui respectent cette politique et évitent toute violation de vie privée, interruption de service ou exfiltration de données.
Aucune divulgation publique à ce jour. Les chercheurs qui signalent un problème valide y seront mentionnés, avec leur accord.
Historique d’exploitation, sans détour.
Compté depuis le lancement en 2024 jusqu’à aujourd’hui. Tout incident à déclarer est publié sous cinq jours ouvrés.
Comment nous publions les incidents.
Un incident à déclarer est tout événement non planifié affectant la confidentialité, l’intégrité ou la disponibilité des données client. Nous publions un post-mortem public avec cause racine, impact client et remédiation sous cinq jours ouvrés. Abonnez-vous via la page de statut ci-dessous.
status.dppautomate.comJoignez l’équipe sécurité.
Pour la due diligence fournisseurs, les questionnaires de sécurité ou les escalades de conformité, écrivez à l’adresse ci-dessous — notre lead sécurité répondra.
Mettez « security » dans l’objet pour un triage rapide.
8408 Winterthur
Switzerland