Trust @ RiskSonnar

Cette page rassemble nos engagements en matière de fiabilité, sécurité, souveraineté data et conformité réglementaire. Elle est destinée aux compliance officers, RSSI, DPO et acheteurs qui évaluent RiskSonnar avant signature. Toutes les informations sont vérifiables et documentées.

99.5%

Uptime cible

100%

Données UE

5 ans

Audit log (Business)

TLS 1.3

Encryption transit

AES-256

Encryption at rest

RGPD

Conforme

Disponibilité et performance

Engagement	Valeur
Uptime cible mensuel	99.5 % (4h/mois max d’indisponibilité)
Latence médiane scan	45 secondes (P50), 90 secondes (P95)
Temps de réponse API	< 100 ms hors scan (P95)
RPO (Recovery Point Objective)	24 heures
RTO (Recovery Time Objective)	4 heures
Backup PostgreSQL	Quotidien, rétention 30 jours, chiffré GPG
Snapshot infra	Quotidien (OVH inclus)

Status page publique en cours de mise en place. Disponible Q3 2026 avec uptime monitoring temps réel et historique des incidents.

Sécurité technique

✓ En place aujourd’hui

TLS 1.3 partout (forced HTTPS, HSTS, CSP, X-Frame-Options)
Authentification Clerk avec JWT validé via JWKS RS256
Webhooks signés HMAC-SHA256 + idempotence par event_id
Rate limiting par IP et par utilisateur
Input sanitization (SQL/HTML/script injection)
Secret management via variables d’environnement chiffrées
Backups quotidiens chiffrés GPG, rétention 30 jours
Logs d’accès anonymisés, conservés 90 jours
Sous-traitants tous européens et RGPD-compatibles

⏳ Roadmap 2026

SOC 2 Type I — Q3 2026
ISO 27001 prep — Q4 2026 (audit externe)
Pen test annuel par cabinet indépendant — Q3 2026
Bug bounty privé — Q4 2026
Sentry-like monitoring temps réel — Q2 2026
Status page publique avec historique incidents — Q3 2026

Souveraineté et résidence des données

Critère	Engagement
Hébergement principal	OVH France SA — datacenter Allemagne (Frankfurt)
Juridiction applicable	UE (RGPD strict)
Cloud Act US	Non applicable (entreprise française, hébergeur français)
Transferts hors UE	Aucun (toutes les données restent en UE)
Anthropic API (Claude)	Endpoint Europe activé, données non utilisées pour training
Stripe	Zero-knowledge sur RiskSonnar (paiements traités côté Stripe)

Argument différenciant. Contrairement à Creditsafe (UK post-Brexit), Dun & Bradstreet (US, Cloud Act) ou de nombreux SaaS américains, RiskSonnar offre une data residency UE pure, garantie contractuellement.

Conformité réglementaire

RGPD — Règlement Général sur la Protection des Données

Conformité totale. DPO désigné. Registre des traitements à jour. Procédures de droit d’accès, de rectification, d’effacement et de portabilité opérationnelles. Délai de réponse aux demandes : ≤ 1 mois.

LCB-FT (Lutte Contre le Blanchiment et le Financement du Terrorisme)

Le service RiskSonnar est un outil d’aide à la conformité — pas une entité assujettie. Nous n’effectuons pas de transactions financières. Les rapports produits sont une preuve auditable de la diligence accomplie par nos clients.

Hébergement données de santé (HDS)

Non applicable : RiskSonnar ne traite pas de données de santé.

Sous-traitants (sub-processors)

Liste des sous-traitants tiers utilisés par RiskSonnar pour fournir le service. Tous sont contractuellement liés par DPA (Data Processing Agreement) conformes RGPD.

Sous-traitant	Rôle	Localisation
OVH France SA	Hébergement infrastructure	Allemagne (DC), France (siège)
Clerk Inc.	Authentification utilisateurs	USA (mais zero-knowledge sur les données métier)
Stripe Payments Europe	Paiements et facturation	Irlande (UE)
Anthropic PBC	Modèle Claude pour NER documents (BO MA)	UE Endpoint Europe
OpenSanctions Datasets	Bulk download sanctions consolidées	Allemagne
GitHub (Microsoft)	Code source et CI/CD	USA (code, pas de données client)
Anthropic Claude (Code)	Pair-programming Claude Code (dev tooling)	USA (pas de données client)

Note Clerk + GitHub. Bien que ces fournisseurs soient US, leurs interactions avec RiskSonnar n’impliquent pas de données métier sensibles. Clerk gère uniquement l’authentification (email, ID utilisateur) ; GitHub stocke le code source. Les données scans, rapports, dirigeants restent 100 % en UE.

Certifications et audits

Certification	Statut	Cible
SOC 2 Type I	En préparation	Q3 2026
SOC 2 Type II	Roadmap 2027	—
ISO 27001	En préparation	Q4 2026 (audit externe)
Pen test annuel	Roadmap 2026	Q3 2026
RGPD	Conforme	—

Divulgation des vulnérabilités

Si tu découvres une vulnérabilité, contacte-nous via security@risksonnar.com. Notre politique complète est disponible sur /security. Nous nous engageons à :

Accuser réception sous 48h
Investiguer et patcher dans les délais standards (P0 24h, P1 7j, P2 30j)
Reconnaître publiquement le découvreur (avec son accord) une fois la vulnérabilité corrigée
Ne jamais poursuivre un chercheur agissant de bonne foi (safe harbor)

Engagement de continuité

En cas d’arrêt de l’activité (faillite, rachat, fermeture), RiskSonnar s’engage à fournir aux clients :

Préavis de 6 mois minimum avant arrêt du service
Export complet de toutes leurs données (rapports, scans, paramètres) au format CSV/JSON
Code source en escrow chez un tiers de confiance pour les clients Business sous contrat (option payante)

Contact

Compliance / DPO : compliance@risksonnar.com (réponse sous 5j)

Sécurité (vulnérabilités) : security@risksonnar.com (réponse sous 48h)

RGPD (droit d’accès, effacement) : rgpd@risksonnar.com (réponse sous 30j)