PolicyForge s'appuie sur un nombre limité de sous-traitants pour fournir le service. Chacun est soumis à un Data Processing Agreement (DPA) conforme RGPD, et à un examen de sécurité avant intégration.
| Sous-traitant | Finalité | Localisation | DPA |
|---|---|---|---|
| Supabase | Base de données (PostgreSQL), authentification, stockage de fichiers | EU (Paris) / global | Voir |
| Stripe | Traitement des paiements et facturation | US (with EU SCCs) | Voir |
| Vercel | Hébergement applicatif, fonctions serverless et CDN | EU (Paris, cdg1) — global edge CDN; US SCCs in place | Voir |
| Resend | Envoi des e-mails transactionnels et de cycle de vie (compte, bienvenue, relance) | US (with EU SCCs) | Voir |
| Sentry | Supervision des erreurs applicatives et diagnostics | US (with EU SCCs) | Voir |
| Cloudflare | Protection anti-bot (Turnstile) à l'inscription | US (with EU SCCs) | Voir |
Notification des changements
Nous notifions tout ajout, remplacement ou retrait de sous-traitant au moins 30 jours avant son entrée en vigueur, par e-mail aux administrateurs de chaque organisation cliente. Vous pouvez vous opposer à un nouveau sous-traitant pour motif légitime — auquel cas vous pouvez résilier votre abonnement sans pénalité.
Transferts internationaux
Lorsque les données sont traitées hors de l'Union européenne (notamment par Stripe), les transferts reposent sur les Clauses Contractuelles Types approuvées par la Commission européenne, complétées de mesures techniques (chiffrement, contrôles d'accès).
Contact
Pour toute question : contact@nagashieldsecurity.com.