Aller au contenu principal
Capiwise
Demander une démo
Sécurité & conformité

Sécurité de niveau cabinet d’audit.

Hébergement France, RGPD strict, chiffrement at-rest et in-transit, audit trail immuable, eIDAS qualifié. Pas de Cloud Act, pas de tracking, pas de gotcha.

Six piliers

Notre architecture de sécurité

Chaque pilier a été pensé pour passer le contrôle d’un Big Four.

  • Hébergement France

    Vercel EU (Paris) + Supabase EU (eu-west-1, Irlande) + Sentry DE. Aucun transfert hors UE.

  • RGPD strict

    DPO désigné, registre des traitements, DPIA pour les fonctionnalités sensibles. Pas de tracking marketing.

  • Chiffrement de bout en bout

    At-rest : AES-256 (Supabase). In-transit : TLS 1.3. Phone bénéficiaire chiffré au niveau application.

  • Audit trail immuable

    Hash chain SHA-256, every event signed, no UPDATE possible. Conforme exigences Big Four.

  • Authentification robuste

    Magic link passwordless (Supabase Auth). MFA optionnel. SSO SAML / OIDC pour Enterprise.

  • eIDAS qualifié avancé

    Yousign signature légale FR. Certificats conformes ANSSI. Horodatage qualifié RFC 3161.

Defense-in-depth

Multi-tenant à 4 couches. Cross-org leak impossible.

L’architecture multi-tenant Capiwise empile 4 couches de défense. Pour qu’un user de l’org A voie une donnée de l’org B, il faudrait que les 4 couches échouent simultanément. Validé en prod sur 14 modules livrés, 0 incident.

  • Couche 1 — RLS Postgres : policies par table, vérifie current_org_id() automatiquement
  • Couche 2 — TENANT_VIOLATION : RPCs SECURITY DEFINER lèvent une exception si org_id mismatch
  • Couche 3 — Server Actions : requirePermission() avec check explicite avant chaque action
  • Couche 4 — Frontend : filtering UI côté React (defense-in-depth, pas seul rempart)
  • Audit trail consolidé : tout cross-org access tenté est loggé, even si bloqué
Journal d'audit Capiwise — Tout ce qui s'est passé, scellé et daté. 14 247 événements depuis 01.01.2024, chaîne SHA-256 intègre. Filtres Tous/Plans/Signatures/Modifications/Exports CAC/Calculs IFRS 2. Liste chronologique avec horodatage, type, actor et hash chaîné.
Certifications

Certifications & conformité

RGPD (UE)En conformité
Hébergement FranceVercel EU + Supabase EU
eIDAS qualifié avancéVia Yousign
ISO 27001Certification en cours · Q4 2026
SOC 2 Type IIRoadmap 2027
PCI DSSNon applicable (pas de carte stockée)
Transparence

Sous-traitants

Tous les sous-traitants utilisés par Capiwise — leur rôle, leur localisation, leur niveau de risque RGPD.

SociétéRôleLocalisationRisque
Vercel Inc.Hosting frontend Next.jsEU (Paris)🇪🇺 Faible
Supabase Inc.Database Postgres + Auth + StorageEU (Dublin)🇪🇺 Faible
Sentry GmbHMonitoring d’erreursDE (Frankfurt)🇪🇺 Faible
Yousign SASSignature électronique eIDASFR (Caen)🇫🇷 Très faible
Resend Inc.Envoi d’emails transactionnelsUS (clauses contractuelles types)🇺🇸 Modéré · données limitées (email + nom)

Tous les sous-traitants sont liés par DPA conformes RGPD. Les transferts hors UE (Resend) sont encadrés par les clauses contractuelles types CCT 2021/914 de la Commission européenne. Données limitées (email + nom + métadonnées de delivery).

Documentation

Documentation détaillée

Pour les CISO, DPO et auditeurs qui veulent creuser.

Accord de traitement (DPA)DPA standard signable en ligne. Annexes sous-traitants à jour.Lire le document →Politique de confidentialitéDétail des traitements, durées de conservation, droits RGPD.Lire le document →
Audit de sécurité ?

Notre équipe répond aux questionnaires CISO.

Pour les DSI/CISO qui doivent valider Capiwise pour leur org : envoyez-nous votre questionnaire, on revient sous 5 jours ouvrés.

Demander une revue de sécurité