La version allemande fait foi. Cette traduction est fournie à titre informatif.
Données hébergées en Suisse · Chiffrement de bout en bout · Clés HSM propres · IA uniquement en Europe · nLPD, RGPD, prêt FINMA · Exploitation sur infrastructure serveur certifiée ISO 27001 et SOC 2 Type II
Hébergement des données en Suisse
Vos données clients se trouvent dans un centre de calcul certifié à Zurich. Aucun transfert vers les États-Unis ou d'autres États tiers
Chiffrement de bout en bout
AES-256 au stockage, TLS 1.2+ en transit. Protégé sur chaque tronçon
Souveraineté HSM propre
Les clés maîtres se trouvent exclusivement chez nous dans un Hardware Security Module. Même l'exploitant du centre de calcul n'accède pas à vos champs sensibles
IA uniquement en Europe
Traitement IA exclusivement dans un centre de calcul européen en Belgique. Avant chaque requête, les noms, AVS, IBAN et adresses sont automatiquement pseudonymisés
Aligné FINMA et conforme nLPD
Aligné sur la circulaire FINMA 2018/3 (Outsourcing) pour les clients assureurs, la loi révisée sur la protection des données et le RGPD
Traçabilité complète
Chaque accès est journalisé dans un bucket d'audit immuable — conservé 10 ans
Client-Side Field Level Encryption (CSFLE) pour les champs particulièrement sensibles : numéros AVS, dates de naissance, IBAN, numéros de polices d'assurance, déclarations de sinistre
Clés protégées par HSM avec rotation automatique tous les 90 jours
Souveraineté propre des clés — les clés maîtres se trouvent exclusivement chez nous, pas chez l'exploitant du centre de calcul ; la base de données peut être rendue cryptographiquement illisible à tout moment (révocation de clé)
Sécurité réseau
Notre base de données n'est pas accessible depuis l'internet ouvert.
Private Networking — base de données jamais accessible via l'internet public
Connexion cloud privée — la base de données n'est pas accessible via l'internet public, mais uniquement via un tunnel réseau interne privé
Infrastructure isolée du réseau en Suisse
Résolution DNS privée — les adresses ne sont résolues qu'à l'intérieur du réseau interne
IA avec protection des données
Avant qu'un document n'arrive à l'IA, les noms, numéros AVS et adresses sont retirés.
Modèles IA exclusivement dans des centres de calcul européens (site Belgique)
Anonymisation automatique par un filtre DLP (Data Loss Prevention) en amont avant chaque requête IA
Pseudonymisation des données sensibles (AVS, noms, IBAN, adresses) avant qu'elles n'arrivent à l'IA
Aucun entraînement sur les données clients — exclu contractuellement
Les patterns customs suisses (numéro AVS, IDE) sont reconnus et masqués
Contrôle d'accès
Chaque mandant est techniquement séparé. La connexion à 2 facteurs est obligatoire.
Multi-Factor Authentication (MFA) pour tous les collaborateurs
Role-Based Access Control (RBAC) selon le principe du moindre privilège
Strict Tenant Isolation — séparation multi-mandants au niveau des données
Service Accounts séparés avec autorisations minimales
Service Accounts KMS dédiés pour les opérations de chiffrement
Utilisateurs de base de données séparés pour App, Analytics et Backup
Audit et monitoring
Chaque accès est journalisé — immuable pendant 10 ans.
Journalisation par chaîne de hash de toutes les mutations métier ainsi que de tous les accès aux données particulièrement sensibles (read_sensitive) ; en complément, audit de base de données côté serveur au niveau infrastructure
Plateforme de logs centrale avec conservation à long terme
Bucket d'audit immuable avec rétention de 10 ans
Monitoring 24/7 de l'infrastructure
Sauvegardes et reprise après sinistre
Les sauvegardes quotidiennes, également chiffrées, restent en Suisse.
Continuous Backups avec Point-in-Time Recovery
Sauvegardes en Suisse — pas de réplication cross-region en dehors de CH/UE
Sauvegardes chiffrées avec les mêmes clés HSM gérées en propre
Buckets de stockage versionnés (résistants aux ransomwares)
Stockage de fichiers
Les fichiers ne sont jamais publics. Les liens d'upload sont valables 15 minutes au maximum.
Public Access Prevention impérativement activé
Contrôle d'accès uniforme au niveau du conteneur — aucun fichier accidentellement rendu public
Customer-Managed Encryption Keys également pour le stockage de fichiers
Signed URLs à courte validité (max. 15 minutes pour les uploads)
Lifecycle Rules pour les données temporaires
Access Logging sur un bucket d'audit séparé
Cadres de conformité
Infrastructure auditée selon les standards suisses, européens et internationaux.
Conforme nLPD (loi suisse révisée sur la protection des données)
Conforme RGPD / GDPR
ISO 27001 + SOC 2 Type II — l'ensemble de l'infrastructure serveur et pipeline sur laquelle SOTHURA SAFE est exploité tourne dans des centres de calcul certifiés ISO 27001 et SOC 2 Type II
Circulaire FINMA 2018/3 Outsourcing — alignée sur les exigences pour les clients assureurs
Standard Contractual Clauses (SCC) là où requis
Transparence et droits des utilisateurs
Information, suppression, export — réglés en 30 jours au plus.
Information, rectification, suppression en ≤ 30 jours
Portabilité des données — export de vos propres données possible à tout moment
Notification d'incident aux autorités de surveillance et personnes concernées — aussi rapidement que possible (art. 24 nLPD) ; en cas de référence UE en outre dans les 72 heures (art. 33 RGPD)
Liste publique des sous-traitants sur le site web (toujours à jour)
Suppression cryptographique par révocation de clé
Mesures organisationnelles
Contrats, formations et registres conformes à la loi suisse sur la protection des données.
Contrats de sous-traitance des données (DPA) avec tous les sous-traitants
Analyse d'impact relative à la protection des données (AIPD) documentée
Registre des activités de traitement (ROPA) tenu à jour
Formations des collaborateurs en protection des données et sécurité
Background Checks pour les personnes ayant un accès productif aux données
Catalogue obligatoire de Security-Gates
Chaque modification produit est vérifiée avant mise en service contre un catalogue fixe de Security-Gates — automatisé et résistant à l'audit.
SG-001 — Les accès non authentifiés aux routes de portail protégées sont rejetés (tests E2E de redirection)
SG-002 — Tenant fail-closed : sans contexte tenant, aucun accès aux données (tests d'intégration)
SG-003 — Accès cross-tenant strictement refusé (tests négatifs Int et E2E, 403)
SG-004 — La déconnexion invalide la session active côté serveur
SG-005 — Les jetons ne sont pas en stratégie primaire dans le Browser Storage
SG-006 — Les endpoints IA sont accessibles uniquement authentifiés et tenant-scoped (401/403)
SG-007 — Les accès Signed-URL sont tenant-scoped (401/403)
Nous répondons aux signalements qualifiés dans les trois jours ouvrés. Veuillez indiquer un chemin de reproduction clairement décrit, le composant concerné et — dans la mesure du possible — une évaluation de l'impact.
Safe Harbor. Nous ne poursuivons pas civilement ou pénalement les chercheurs en sécurité, tant que (i) le signalement est fait de bonne foi, (ii) seuls des comptes de test propres sont utilisés, (iii) aucune donnée client tierce n'est consultée, copiée ou divulguée, (iv) aucun test de déni de service ou attaque par ingénierie sociale contre les collaborateurs n'est effectué et (v) un délai raisonnable de correction est accordé avant publication. Les tests d'intrusion non autorisés, l'exploitation de vulnérabilités au-delà de la profondeur nécessaire au signalement ainsi que la captation de données tierces sont inadmissibles et seront poursuivis pénalement (art. 143, 143bis, 144bis CP).