Chiffrement au repos & en transit
AES-256 pour les données au repos (Postgres Supabase), TLS 1.2+ pour toutes les communications réseau.
Confiance & sécurité
Tout ce que les RSSI veulent voir.
Vendre de la cybersécurité impose un standard plus élevé. Voici la posture sécurité, conformité et opérationnelle de PolicyForge — sans jargon, sans superlatifs, vérifiable.
Protection des données
Vos données, chiffrées et isolées
Hébergement EU
Base de données et stockage chez Supabase (Frankfurt). Emails transactionnels chez Resend (EU). Monitoring chez Sentry (Frankfurt). Vercel sert le frontend depuis ses Edge nodes; les fonctions serverless tournent en US (iad1) sous SCC, comme indiqué sur notre page Sous-traitants.
Voir la liste des sous-traitants →Isolation multi-tenant
Chaque organisation cliente est isolée au niveau base via Postgres Row Level Security. Une requête d'un utilisateur ne peut jamais retourner les données d'une autre organisation, même en cas d'erreur applicative.
Sauvegardes
Sauvegardes quotidiennes automatiques, rétention 7 jours. Supabase gère la réplication et le PITR (point-in-time recovery) sur les plans payants.
Contrôle d'accès
Qui accède à quoi, tracé bout-en-bout
Authentification à deux facteurs (2FA)
Disponible pour tous les utilisateurs via TOTP (Google Authenticator, 1Password, Authy). Obligatoire pour les rôles admin et super_admin de votre organisation.
Contrôle d'accès basé sur les rôles (RBAC)
Trois rôles : user (par défaut), admin (gestion d'organisation), super_admin (gestion globale). Principe du moindre privilège appliqué partout, vérifié à chaque action côté serveur.
Journal d'audit horodaté
Toute action sensible (création/suppression de politique, changement de rôle, paiement, modification de profil) est enregistrée avec l'auteur, l'horodatage et le contexte. Consultable par les admins.
Conformité RGPD
Conforme par conception
DPA téléchargeable
Notre Accord de Traitement des Données (Article 28 RGPD) est disponible en PDF contre-signable. Pas besoin de nous contacter : téléchargez, signez, retournez.
Télécharger le DPA →Droits des personnes en self-service
Vos utilisateurs peuvent exporter leurs données (Art. 15 et 20) et supprimer leur compte (Art. 17) directement depuis leur espace, sans demander à un admin. Tout est tracé dans le journal d'audit.
Cookies strictement nécessaires uniquement
Session d'authentification et préférence de langue. Aucun cookie marketing, aucun traceur tiers, aucun analytics avec cookies. Analytics via Cloudflare Web Analytics (sans cookie).
Politique de confidentialité
Rédigée en clair, sans jargon, couvrant les 13 sections obligatoires RGPD : bases légales, finalités, rétention, transferts internationaux, sécurité, droits, contact DPO.
Lire la Politique de confidentialité →Réponse aux incidents
Si quelque chose tourne mal
Notification de violation
En cas de violation de données personnelles, nous notifions chaque organisation cliente concernée sous 48 heures (cible interne) et la CNIL sous 72 heures conformément à l'article 33 RGPD.
Divulgation responsable
Chercheurs en sécurité bienvenus. Notre security.txt (RFC 9116) liste le contact, le périmètre et notre engagement à ne pas poursuivre les recherches de bonne foi.
security.txt →Contact équipe sécurité
security@nagashieldsecurity.com
Certifications
Roadmap conformité
ISO 27001 — visé Q4 2026
Démarche engagée. Nous écrivons nos propres politiques internes avec… PolicyForge.
SOC 2 Type II — visé H1 2027
Pour nos clients américains. Audit annuel par cabinet CPA accrédité.
Rapports & preuves
Les rapports de certification et de pentest seront mis à disposition sur demande sous NDA, dès leur obtention. Suivez l'avancement sur notre roadmap publique.
Voir la roadmap publique →Vous avez besoin d'autre chose ?
Questionnaire vendor sécurité, attestation, rapport pentest, audit sur site, clause spécifique au contrat… Écrivez-nous, nous répondons en moins de 48h.
Édité par NAGASHIELD SECURITY · SAS au capital de 1 € · RCS Paris 989 235 999 · 60 rue François 1er, 75008 Paris