Sécurité et confiance
Toutes les mesures font partie de nos Conditions Générales (contrat de sous-traitance + TOMs, annexes 2 et 3). Cette page est un résumé — seul le texte allemand fait foi.
Hébergement & certifications
Toute l'infrastructure sur Google Cloud Platform (GCP). Centres de données certifiés ISO 27001 et SOC 2 Type II.
Localisation des données UE
Exploitation sur europe-west9 (Paris) et europe-west3 (Francfort). Les données clients et de recherche restent dans l'UE.
Chiffrement
En transit : TLS 1.2+/1.3. Au repos : AES-256 au niveau GCP. Secrets et clés API dans GCP Secret Manager.
Accès & isolation des locataires
Isolation stricte entre organisations. Contrôle d'accès basé sur les rôles (RBAC). Accès admin en production avec authentification à deux facteurs et journalisation.
Sauvegardes & reprise
Sauvegardes Firestore quotidiennes, versionnement GCS, sauvegardes Qdrant quotidiennes.
Monitoring & protection
Protection DDoS et détection d'anomalies via Google Cloud Armor (Adaptive Protection, WAF/OWASP CRS v3.3).
Sous-traitance (art. 28 RGPD)
Le contrat de sous-traitance fait partie des Conditions Générales (partie 2 — AVB). TOMs en annexe 2, sous-traitants en annexe 3.
Sous-traitants
Tous les sous-traitants sont basés ou traitent les données dans l'UE :
- Google Cloud EMEA Ltd. — hébergement (GCP europe-west9 Paris, europe-west3 Francfort)
- Stripe — paiements
- sevdesk — archive de factures & comptabilité
- Autres — voir annexe 3 des Conditions Générales
Signaler un incident de sécurité
Incidents de sécurité présumés : security@conformi.eu. Demandes RGPD : datenschutz@conformi.eu.
Texte contraignant complet dans les Conditions Générales (annexe 2 — TOMs, annexe 3 — sous-traitants). Ouvrir les CG