Security & Trust Center
Transparence totale sur la sécurité et la conformité — Mis à jour le 25 février 2026
Statut des certifications
Mis à jour le 25 février 2026
RGPD / GDPR
Toutes les obligations du règlement européen sur la protection des données personnelles sont respectées.
Hébergement EU · DPA signé · Art. 15-22 implémentés · privacy@metrikia.io
CASA Tier 2
Cloud Application Security Assessment exigé par Google pour l'accès au scope OAuth restreint auth/adwords.
OWASP ASVS 4.0 · 50+ contrôles vérifiés · Feb 2026
DPA Infrastructure
Contrat de Traitement des Données avec Railway (hébergeur EU), conforme à l'article 28 du RGPD.
DocuSign · EU SCCs Module 2 · Signé 2026-02-24
SOC 2 Type II
Certification des Trust Service Criteria (Sécurité, Disponibilité, Confidentialité) selon l'AICPA.
~87% des contrôles en place · Roadmap Q4 2026
Architecture de sécurité
Contrôles techniques en place sur chaque couche de l'application.
Chiffrement bout-en-bout
Données au repos chiffrées via libsodium XSalsa20-Poly1305 (équivalent AES-256). Transit chiffré TLS 1.3.
Authentification renforcée
JWT 15 minutes (RS256), refresh tokens HTTP-only cookie, MFA/TOTP obligatoire pour les administrateurs.
Isolation multi-tenant
Doctrine TenantFilter garantit que chaque tenant ne voit que ses propres données. Zéro fuite inter-comptes.
Révocation des tokens OAuth
À la déconnexion, les tokens OAuth sont révoqués côté fournisseur (Google RFC 7009, Meta Graph API, TikTok).
Security Headers
HSTS, CSP strict, X-Frame-Options, CORS, X-Content-Type-Options sur tous les endpoints API et frontend.
Sécurité CI/CD
Trivy (CVE scanning), Dependabot (dépendances), PHPStan Level 8, npm audit — vérifiés à chaque déploiement.
Sauvegardes quotidiennes
PostgreSQL sauvegardé quotidiennement via Railway. RPO 24h, RTO ~30 min (redéploiement Git).
Monitoring & Alertes
Sentry (erreurs + tracing), métriques Messenger, healthchecks Docker, Cron monitoring sur 7 commandes.
Sous-traitants
Liste exhaustive des tiers ayant accès aux données de traitement.
| Sous-traitant | Finalité | Région | Garanties |
|---|---|---|---|
| Railway | Infrastructure PaaS (API, DB, Workers) | EU West — Amsterdam (NL) | DPA signé · EU SCCs Module 2 |
| Meta Platforms | Données publicitaires Meta Ads | USA → EU | EU SCCs |
| Google LLC | Données publicitaires Google Ads + Analytics | USA → EU | EU SCCs |
| TikTok Pte. Ltd. | Données publicitaires TikTok Ads | Singapour → EU | EU SCCs |
| Stripe, Inc. | Traitement des paiements | USA → EU | EU SCCs |
| Sentry (Functional Software) | Monitoring des erreurs et performances | USA → EU | EU SCCs |
| Anthropic, PBC | IA Diana (support client) | USA → EU | EU SCCs · Données anonymisées |
Toute modification de la liste des sous-traitants est notifiée aux clients avec un préavis de 30 jours.
Divulgation responsable
Si vous identifiez une vulnérabilité de sécurité dans Metrikia, nous vous invitons à nous la signaler de façon responsable. Nous nous engageons à répondre sous 48h ouvrées et à corriger les vulnérabilités critiques sous 7 jours.
Ressources & Documents
Documents NDA & Rapports
Accédez aux documents techniques confidentiels via notre Trust Center sécurisé.
En savoir plus
Consultez nos pages juridiques pour plus de détails.