Vous nous confiez les informations qui décrivent votre posture de sécurité. Cette page documente, en toute transparence, comment nous protégeons ces données — et ce qui reste sur notre roadmap. Pas de promesse marketing, pas de logo de norme que nous n'avons pas obtenue. NIS2YOU est en early access : nous construisons notre sécurité en même temps que nos clients construisent la leur.

• Hébergement chez Hetzner Online GmbH, datacenters en Allemagne (Falkenstein / Nuremberg). Hetzner est certifié ISO 27001 au niveau de son infrastructure.
• Vos données restent au sein de l'Union européenne. Aucun transfert vers un pays tiers n'est effectué dans le cadre normal du Service.
• Sous-traitants techniques (hébergement, email transactionnel) sélectionnés sur la base de leur conformité RGPD et liés par un contrat de sous-traitance article 28.

• En transit : TLS 1.2+ obligatoire pour toutes les communications client-serveur. Redirection HTTPS forcée. HSTS activé.
• Au repos : chiffrement au niveau du système de stockage de notre hébergeur.
• Mots de passe : hachage bcrypt avec sel unique par utilisateur. Aucun mot de passe en clair n'est stocké ou journalisé.
• Secrets applicatifs : variables d'environnement isolées par tenant, jamais commitées en dépôt.

• Double authentification (2FA / TOTP) disponible pour tous les utilisateurs (Google Authenticator, Authy, 1Password, etc.).
• Codes de récupération chiffrés à usage unique pour les pertes de second facteur.
• Isolation multi-tenant stricte : chaque table métier porte un tenant_id et un global scope l'applique automatiquement à toute requête. Couverture testée : voir notre suite de tests Pest TenantIsolationTest.
• Rôles et permissions : 5 niveaux (Owner, Admin, Risk Manager, Contributor, Auditor) avec matrice détaillée. Le rôle Auditor permet d'inviter votre auditeur externe en lecture seule.
• SSO / SAML : sur demande, dans le plan Enterprise (à venir).

• Snapshots quotidiens automatiques de l'infrastructure (Hetzner Cloud Snapshots), conservés selon notre politique de rétention.
• En early access, le délai de reprise et la stratégie de continuité d'activité sont des engagements de meilleurs efforts, pas un SLA contractuel.
• Les engagements de reprise (RPO/RTO) chiffrés et le SLA contractuel de disponibilité seront proposés dans le plan Enterprise, accompagnés d'une stratégie de réplication multi-DC.

• Toute modification des entités métier (risques, contrôles, plans d'action, incidents, revues, actifs, utilisateurs) est tracée : qui, quand, ancienne valeur, nouvelle valeur.
• Visible côté utilisateur via la page Audit log. Consultable par les rôles Admin, Risk Manager et Auditor.
• Conservé pendant toute la durée d'activité du tenant pour répondre aux exigences de traçabilité NIS2 / ISO 27001.

• Vos données vous appartiennent. Export PDF et CSV/Excel disponibles à tout moment depuis l'application ; API publique en cours de développement.
• Suppression de compte : sur demande à dpo@nis2you.com, nous traitons votre demande d'effacement et vous confirmons la suppression par email. Vous pouvez exporter votre registre avant la suppression définitive.
• Suppressions logicielles (soft-delete) sur les entités métier critiques pour préserver l'historique d'audit.

• Code-base versionnée sur GitHub avec revue de code obligatoire avant fusion.
• Pipeline d'intégration continue : suite de tests Pest exécutée à chaque push ; toute régression bloque le déploiement.
• Mises à jour de sécurité des dépendances suivies automatiquement (Dependabot).
• Pas de credentials dans le code source. Variables d'environnement chiffrées au repos.

Nous croyons à la transparence. Voici ce que nous n'avons pas encore :

• Certification ISO 27001 (en préparation interne — l'outil que nous vendons sert à nous y préparer également).
• Audit SOC 2 Type II (envisagé en 2027 selon la traction commerciale).
• Programme de tests d'intrusion (pentest) externes — à planifier en fonction de la traction commerciale et des demandes clients.
• Programme de divulgation responsable (bug bounty) public.
• SLA contractuel de disponibilité avec stratégie de réplication multi-DC (sera attaché au plan Enterprise).

• Vulnérabilité, incident de sécurité ou question RGPD : dpo@nis2you.com
• Contrat de sous-traitance RGPD (DPA) : disponible sur demande à dpo@nis2you.com

Nous prenons au sérieux les rapports de vulnérabilité et nous engageons à répondre sous 72 heures ouvrables.

📄 May 2026 (v1.0) — Latest · Télécharger PDF