CONFIANCE & SÉCURITÉ

Ce que nous faisons, ce dont nous disposons, ce que vous pouvez auditer.

TradeOS détient vos données opérationnelles — commandes, expéditions, contrats, états financiers, relations fournisseurs, données clients, communications sur sept canaux. Nous considérons cette responsabilité comme le ticket d'entrée d'une plateforme de commerce. Pas une posture marketing. Un socle. Cette page documente ce que nous avons construit, ce pour quoi nous sommes certifiés, ce à quoi nous nous engageons contractuellement, et ce que vos équipes peuvent auditer de façon indépendante.

Demander le dossier de revue sécurité Aller à la FAQ InfoSec

Audit · annuel

SOC 2 Type IIrapport complet sous NDA · résumé exécutif public

SMSI · cycle de 3 ans

ISO 27001:2022toutes les opérations plateforme · surveillance annuelle

Vie privée · personnes UE

RGPD + DPAstandard en Business+ · sur mesure en Enterprise

Fiabilité

99,95 % de disponibilitéSLA · status.edma.trade · historique public

CERTIFIÉ

Audité. Documenté. Disponible sous NDA.

Chaque affirmation de cette page renvoie à un artefact précis que vos équipes peuvent consulter. Les artefacts publics se téléchargent depuis le lien ci-dessous. Les artefacts sous NDA sont livrés dans les 2 jours ouvrés suivant la signature d'un NDA standard.

SOC 2
TYPE II

À jour

SOC 2 Type II

PérimètreDonnées opérationnelles, données clients, infrastructure IA, gestion des identités

Cabinet d'audit[À confirmer — Big 4 / Schellman]

PériodeAnnuelle · fenêtre opérationnelle de 12 mois

DisponibleRapport complet sous NDA · résumé exécutif public

Prochain renouvellement[À confirmer — Mois AAAA]

Critères des Trust Services : Sécurité, Disponibilité, Confidentialité. Intégrité du traitement et Vie privée ajoutées au prochain renouvellement.

ISO
27001
:2022

À jour

ISO 27001:2022

PérimètreSMSI couvrant toutes les opérations plateforme — développement, infrastructure, support, fonctions corporate

Organisme de cert.[À confirmer]

PériodeCycle de 3 ans · audits de surveillance annuels

DisponibleCertificat public · SoA sous NDA

Prochaine surv.[À confirmer — Mois AAAA]

La Déclaration d'Applicabilité (SoA) documente les 93 contrôles de l'Annexe A inclus dans le périmètre ; disponible sous NDA standard avec le rapport SOC 2 complet.

GDPR
· EU ·

Conforme

Conformité RGPD

PérimètreToutes les personnes concernées de l'UE, y compris les utilisateurs finaux des clients dans les espaces de travail UE

DocumentsDPA · Registre des activités de traitement (ROPA) · modèle d'AIPD

InclusionDPA standard dans les contrats Business+ · DPA sur mesure négociable en Enterprise

DPO[À confirmer — Nom + e-mail]

TransfertCCT · validées par l'AdCom UE · conformes Schrems II

EDMA agit en tant que sous-traitant de données pour les données fournies par le client ; responsable de traitement uniquement pour les données de compte utilisateur.

HIPAA
· BAA ·

Conditionnel

HIPAA (BAA)

PérimètreClients du secteur santé manipulant des Protected Health Information (PHI)

PalierSignature de BAA à partir de Business+ · clients santé éligibles

ConditionsLe client doit opérer en tant que Covered Entity ou Business Associate au sens HIPAA

Traitement des PHIChiffrement + accès minimum nécessaire + rétention des logs d'audit pendant 6 ans

Non applicable aux espaces de travail hors santé. Les termes du BAA sont un avenant au MSA standard, pas un contrat distinct.

Sur la roadmap conformité 2026–2027 : PCI-DSS Niveau 1 (workflows de paiement), ISO 27701 (extension gestion de la vie privée à 27001), élargissement du périmètre SOC 2 Type II aux paliers Sovereign et Air-Gapped. Avancement public trimestriel sur la salle de presse.

OÙ VIVENT VOS DONNÉES

Résidence géographique des données par palier de déploiement.

Trois régions standard pour les clients Team et Business. Déploiement Sovereign mono-tenant dans environ 25 régions cloud au niveau Enterprise. Déploiement air-gapped pour les clients dont les données ne peuvent pas quitter leur propre infrastructure.

CARTE DE RÉSIDENCE · COMPORTEMENT PAR DÉFAUT · DANS LA RÉGION3 STANDARD + 25 SOVEREIGN

R1US — US-East · VirginiePar défaut

Par défaut pour Starter, Solo, Team. CCT en place pour les personnes concernées de l'UE lorsque cela s'applique.

SOC 2ISO 27001RGPD · CCTÉligible HIPAA

R2UE — EU-Central · FrancfortBusiness+

Natif RGPD : pas de CCT requises pour les personnes concernées de l'UE. Conforme Schrems II. Droit local : BDSG allemand + RGPD UE en priorité.

SOC 2ISO 27001Natif RGPDSchrems II

R3APAC — Southeast · SingapourBusiness+

Compatibilité PDPA Singapour, PDPO Hong Kong. Prend en charge les exigences de résidence des données en Asie du SE.

SOC 2ISO 27001PDPA · SGPDPO · HK

SSovereign — toute région AWS / GCP / AzureEnterprise

VPC mono-tenant dans la région spécifiée par le client (~25 dans le monde). Hérite du régime de conformité de la région plus des clés de chiffrement gérées par le client.

Plus de 25 régionsCMK / BYOKIsolation VPC

AGAir-gapped — infrastructure clientEnterprise

Entièrement auto-hébergé. Aucune donnée ne quitte l'environnement du client. Modèle Gemma 4 E4B local inclus ; l'IA commerciale nécessite des clés fournies par le client.

Auto-hébergéIA locale · GemmaÉligible défense

Les mouvements de données inter-régions sont sur opt-in et auditables. Comportement par défaut : les données restent dans la région sélectionnée. Sauvegarde et reprise après sinistre : intra-région uniquement, sauf demande explicite et écrite du client de DR inter-régions en avenant au contrat.

CHIFFREMENT

Au repos, en transit, en cours d'utilisation. De bout en bout.

Algorithmes précis, hiérarchies de clés précises, attestation de calcul précise. Clés gérées par le client en Enterprise : faites tourner ou détruisez les clés et EDMA ne peut plus déchiffrer vos données — y compris pour sa propre réponse aux incidents.

[01]

Au repos

Données au repos

AES-256-GCM pour toutes les données stockées — bases de données, stockage objet, sauvegardes.
Clés de chiffrement par tenant pour assurer l'isolation au niveau de l'espace de travail ; aucune clé partagée entre tenants.
KMS hiérarchique : les clés maîtres tenant dérivent les clés de chiffrement des données ; les clés racines ne quittent jamais le HSM.
Le chiffrement des sauvegardes utilise une hiérarchie de clés distincte ; la restauration requiert l'autorisation explicite du client.
Logs d'audit chiffrés avec une troisième famille de clés — la rétention est garantie cryptographiquement, pas uniquement par contrôle d'accès.

[02]

En transit

Données en transit

TLS 1.3 pour toutes les communications externes — aucun repli vers TLS 1.2.
Certificate pinning sur les applications mobiles iOS et Android.
mTLS (TLS mutuel) pour l'authentification service-à-service au sein de la plateforme.
Requêtes API authentifiées via JWT signé avec rotation toutes les heures et claims scopés à l'audience.
Les connexions WebSocket héritent du même standard TLS 1.3 ; aucun repli en clair.

[03]

En utilisation · calcul

Données en cours d'utilisation

SaaS standard : attestation TPM sur le control plane ; charges sensibles dans des runtimes attestés.
Palier Sovereign : confidential computing sur AWS Nitro Enclaves ou GCP Confidential Computing — même les ingénieurs EDMA ne peuvent pas accéder aux données déchiffrées.
Palier air-gapped : les clés de chiffrement et les opérations de déchiffrement restent entièrement sur l'infrastructure du client.
Effacement mémoire (zeroization) à l'arrêt de l'enclave ; pas de swap-to-disk pour la mémoire de travail en clair.

Enterprise · souveraineté des clésBYOK & HYOK pris en charge

Bring Your Own Key et Hold Your Own Key pris en charge avec les principaux gestionnaires de clés. Vous pouvez révoquer l'accès d'EDMA à vos données à tout moment en faisant tourner ou en détruisant la clé d'enveloppement. Après révocation, EDMA ne peut plus déchiffrer — ni pour le support, ni pour la réponse aux incidents, ni pour aucun autre motif.

PRIS EN CHARGE· AWS KMS· Azure Key Vault· GCP Cloud KMS· HashiCorp Vault

CONTRÔLE D'ACCÈS

Qui peut faire quoi — avec une visibilité d'audit complète.

Authentification, autorisation et audit sont trois systèmes distincts avec trois garanties distinctes. RBAC avec granularité au niveau du champ. Logs d'audit infalsifiables avec chaînage cryptographique. Export compatible SIEM à partir de Business+.

Authentification

[01 / 03]

Comment les utilisateurs se connectent.

E-mail + mot de passe avec 2FA TOTP Starter · Solo
SSO via SAML 2.0 et OIDC Business+
SCIM 2.0 pour le provisionnement & déprovisionnement des utilisateurs Business+
2FA obligatoire applicable par rôle Business+
Sans mot de passe via clés d'accès / WebAuthn — recommandé plutôt que les mots de passe sur tous les paliers

IdP testés en production

OktaAzure ADGoogle WorkspaceAuth0OneLoginDuoPing IdentityJumpCloud

Autorisation

[02 / 03]

Qui peut faire quoi.

RBAC avec 6 rôles par défaut + rôles personnalisés illimités
Granularité des permissions : section · action · champ
Scopé par espace de travail — les opérateurs multi-tenant ont des jeux de permissions par espace de travail
Accès limité dans le temps — rôles temporaires avec expiration explicite
Gestion des accès privilégiés pour les escalades de support
Élévation just-in-time (JIT) pour les opérations à fort risque
Workflows d'approbation pour les actions sensibles — configurables par espace de travail

Rôles par défaut

PropriétaireAdminOpérateurFinanceLecteurPartenaire

Piste d'audit

[03 / 03]

Chaque événement, journalisé.

Événements d'authentification : succès, échec, localisation, appareil
Décisions d'autorisation : qui, quoi, quand, accordé/refusé, motif
Accès aux données journalisé au niveau de la ligne pour les entités sensibles — commandes, contrats, états financiers
Log d'audit infalsifiable avec chaînage cryptographique — chaque entrée est hashée et liée à la précédente
Formats d'export : CEF, LEEF, JSON — compatibles SIEM Business+

Cibles SIEM validées

SplunkDatadogSumo LogicElastic SIEMSentinel

Starter

90jours

rétention des logs d'audit

Solo

180jours

rétention des logs d'audit

Business

1an

export SIEM disponible

Enterprise

Illimitée

rétention définie par le client

QUI D'AUTRE TRAITE VOS DONNÉES

Divulgation complète des sous-traitants. Mise à jour chaque trimestre.

Chaque tiers qui touche aux données opérateurs est listé ci-dessous. Finalité, données accédées, localisation, posture de conformité. Les modifications substantielles déclenchent un préavis de 30 jours. Les clients Enterprise conservent un droit d'opposition au titre d'un DPA sur mesure.

Sous-traitant	Finalité	Données accédées	Localisation	Conformité
Amazon Web ServicesAWS · infra principale	Hébergement de l'infrastructure — calcul, stockage, bases de données, réseau	Toutes les données opérationnelles	US · UE · APAC selon la région du client	SOC 2ISO 27001Éligible HIPAARGPD
AnthropicClaude · IA principale	Inférence IA — modèle principal pour Atlas, IA juridique, IA comptabilité	Uniquement les prompts IA initiés par l'opérateur	US	SOC 2RGPDAucune conservation des données
OpenAIGPT · IA de secours	Inférence IA — secours / capacités spécialisées	Uniquement les prompts IA initiés par l'opérateur	US	SOC 2RGPDAucune conservation des données
GoogleGemini · IA de secours	Inférence IA — secours / routage région UE pour Atlas	Uniquement les prompts IA initiés par l'opérateur	US · UE	SOC 2ISO 27001RGPD
StripePaiements · facturation	Traitement des paiements — facturation des abonnements et règlement du Marketplace	Données de facturation uniquement · pas de données opérationnelles	US · UE	PCI-DSS L1SOC 2RGPD
Resend / Amazon SESE-mails transactionnels	Distribution d'e-mails transactionnels	Contenu de l'e-mail + adresse du destinataire	US · UE	SOC 2RGPD
TwilioSMS · WhatsApp Business	Messagerie SMS + WhatsApp Business — communications avec les contreparties	Contenu du message + contact de la contrepartie	US · régional	SOC 2RGPD
MapboxGéocodage · cartes	Géocodage + tuiles cartographiques pour le suivi d'expéditions	Chaînes d'adresses pour le suivi d'expéditions	US	SOC 2RGPD
CloudflareCDN · DDoS · WAF	CDN, protection DDoS, pare-feu applicatif web	Métadonnées des requêtes HTTP · aucune rétention du payload	Edge global	SOC 2ISO 27001RGPD
SentryMonitoring d'erreurs	Monitoring d'erreurs & traces de performance	Stack traces d'erreurs · PII nettoyées à la source	US · UE	SOC 2RGPD

Politique de notification

Les clients reçoivent un préavis de 30 jours avant tout changement de sous-traitant. Les changements substantiels — nouvelle région, nouveau type de données, nouveau régime de conformité — déclenchent un nouveau consentement explicite pour les clients Enterprise sous DPA sur mesure. La liste actuelle est également publiée sous forme de flux JSON versionné à edma.trade/security/subprocessors.json pour l'outillage d'automatisation de la conformité.

Droit d'opposition

Les clients peuvent s'opposer à des sous-traitants spécifiques. EDMA s'efforcera de trouver une alternative comparable ou, lorsqu'aucune alternative viable n'existe, de fournir des motifs de résiliation sans pénalité. Ce droit est énuméré dans le DPA standard et survit au renouvellement du contrat.

TESTS ADVERSARIAUX

Testé chaque année par des tiers. En continu par nos soins.

Deux périmètres : tests de pénétration par des tiers pour la largeur et la validation externe, et tests internes continus pour la profondeur et la vitesse. Programme de bug bounty qui monte en charge avec la GA. Les clients Enterprise peuvent tester leur propre déploiement.

Pentest tiers

annuel

Tests de pénétration externes

Fréquence : minimum annuelle · à la demande pour les changements d'architecture majeurs
Périmètre : application web, surface API, infrastructure, simulation d'ingénierie sociale
Méthodologie : OWASP ASVS L2 minimum · OWASP Top 10 + API Top 10
Cabinets : rotation parmi [À confirmer — NCC Group / Bishop Fox / Trail of Bits / Praetorian]

dernier test[À confirmer — Mois AAAA]

disponibilitérésumé exécutif public · complet sous NDA

Interne continu

à chaque commit

Tests continus en CI

SAST — tests statiques de sécurité applicative · à chaque commit
SCA — analyse de composition logicielle · à chaque mise à jour de dépendance
DAST — tests dynamiques · chaque nuit
Analyse des images de conteneurs · à chaque build
IaC scanning · à chaque plan Terraform
Scan de secrets · pré-commit + balayages post-merge

SLA · P1correctif sous 24 h

SLA · P2 / P37 j / 30 j

Bug bounty

en développement

Bug bounty public · T4 2026

Lancement : avec la GA au T4 2026
Prestataire : [À confirmer — HackerOne / Bugcrowd]
Périmètre : endpoints de production & applications orientées client
Fourchette de primes : 250 $ – 10 000 $ selon la sévérité & l'impact
Pré-lancement : bêta privée sur invitation avec [À confirmer — nombre] chercheurs

safe harbordisclose.io standard

paiementssans plafond · selon la sévérité

Mené par le client

enterprise

Testez votre propre déploiement

Les clients Enterprise peuvent mener des tests de pénétration indépendants sur leur déploiement VPC dédié avec planification préalable.

Le périmètre, la méthodologie et la divulgation des constats sont régis par un accord de test distinct. Les déploiements Sovereign et Air-Gapped permettent des tests contrôlés par le client sans exigence de coordination — c'est votre infrastructure, testez-la à votre rythme.

préavis7 jours (VPC) · aucun (AG)

demandevia votre CSM

QUAND QUELQUE CHOSE TOURNE MAL

Playbooks documentés. Notification sous 72 heures.

Cadre NIST SP 800-61. Rotation 24/7 d'un incident commander. Mises à jour de la page de statut dans les 15 minutes suivant la confirmation, notification complète du client dans les 24 heures pour les violations confirmées affectant ses données, rapport post-incident public dans les 5 jours ouvrés.

Étape 01 · Détecter

Détection

Supervision SOC 24/7 — centre d'opérations de sécurité sur trois fuseaux horaires
schémas d'authentification, d'autorisation et d'accès aux donnéesDétection d'anomalies sur les
Flux de threat intelligence : [Fournisseurs à confirmer]
Incidents signalés par le client via un canal dédié — court-circuite la file générale du support
SLA d'escalade interne : P1 5 min · P2 30 min · P3 4 h

Étape 02 · Répondre

Réponse

Playbooks documentés selon le cadre NIST SP 800-61
Rotation 24/7 de l'incident commander — une personne nommément désignée d'astreinte, pas une boîte partagée
Processus CERR : Confinement · Éradication · Récupération · Retours d'expérience
Mises à jour de la page de statut dans les 15 minutes suivant la confirmation
Notification complète sous 24 heures · rapport post-incident dans les 5 jours ouvrés

Étape 03 · Notifier

Notification de violation

Notification du client sous 72 heures après confirmation d'une violation affectant ses données — conformément à l'article 33 du RGPD
Notification réglementaire selon les exigences de la juridiction applicable
Notification des personnes concernées coordonnée avec le client conformément à son DPA et au droit applicable
Divulgation publique coordonnée avec les clients affectés et les régulateurs
page de statut dans les 7 joursViolations substantielles divulguées publiquement via la suivant la confirmation

SLA de notification

Violation confirmée → client notifié

T+0incident confirmé par l'IR commander00:00

T+15 minentrée créée sur la page de statut00:15

T+24 hnotification complète au client (e-mail + portail)24:00

T+72 hnotification réglementaire · article 33 RGPD72:00

T+5 jrapport post-incident (direct client)120:00

T+30 jrapport final · cause racine + remédiation720:00

Tous les systèmes opérationnelsIncidents substantiels divulgués à status.edma.trade — depuis le lancement bêta en mai 2026 : [X] incidents substantiels · historique complet public.

Ouvrir la page de statut →

VOTRE DROIT DE VÉRIFIER

Vérification indépendante — par vous ou vos auditeurs.

La confiance sans vérification est une affirmation marketing. Chaque client Business et Enterprise reçoit la documentation ci-dessous. Les clients Enterprise peuvent en outre auditer sur site, streamer leurs logs d'audit dans leur propre SIEM et obtenir des réponses aux questionnaires de sécurité fournisseurs sous un SLA de 5 jours.

A · Revue documentaire

Business+

Pack documentaire standard

Tous les clients Business et Enterprise reçoivent :

Rapport SOC 2 Type II annuel (sous NDA)
Certificat ISO 27001 et Déclaration d'Applicabilité
Pentest résumé exécutif (rapport complet sous NDA)
Liste des sous-traitants mise à jour chaque trimestre · flux JSON disponible
Documentation sur le chiffrement & la gestion des clés
Playbooks de réponse aux incidents (caviardés si nécessaire)

B · Audits sur site

Enterprise

Auditez directement nos opérations

Les clients Enterprise peuvent mener des audits sur site annuels avec un préavis de 60 jours. Le périmètre couvre les contrôles de sécurité de l'information, la gestion des sous-traitants, les procédures de réponse aux incidents et la gestion des clés de chiffrement.

Coût : à la charge du client pour les audits dépassant la revue documentaire standard. EDMA fournit espace de travail, personnel nommé et accès aux documents. Les constats restent confidentiels au client au titre de l'accord d'audit.

C · Supervision continue

Enterprise

Streamez les événements dans votre stack

Les clients Enterprise peuvent demander un accès en supervision continue :

Intégration SIEM des logs d'audit — Splunk, Datadog, Sumo Logic, Elastic, Sentinel
Streaming temps réel des événements de sécurité via topic Kafka ou webhook
Accès API contrôlé par le client pour les outils d'automatisation de conformité
Configuré par contrat ; les limites de débit et les types d'événements sont négociables

D · Questionnaires fournisseurs

Business+

Évaluations de sécurité — SIG, CAIQ, sur mesure

Les évaluations de sécurité client standard — SIG, CAIQ, questionnaires de sécurité fournisseurs, modèles entreprise sur mesure — obtiennent une réponse dans les 5 jours ouvrés pour les clients Business+.

Rafraîchissement annuel des réponses inclus dans le périmètre CSM. Bibliothèques de réponses pré-remplies disponibles sur demande pour les frameworks courants (SIG Core, CAIQ v4, NIST CSF 2.0).

QUESTIONS PRÉCISES

Ce que les équipes InfoSec demandent réellement.

12 questions regroupées en 4 thèmes. Cliquez sur un groupe pour le développer. Les réponses sont factuelles, brèves, et renvoient à la section ci-dessus où le contrôle sous-jacent est documenté.

Groupe 01Propriété & contrôle des données3 questions

Q · 01

À qui appartiennent nos données ?

À vous. Toujours. EDMA traite les données pour votre compte en tant que sous-traitant au sens du RGPD. Vos données sont exportables aux formats CSV / JSON à tout moment. À la résiliation du contrat, vous disposez de 90 jours pour exporter ; nous supprimons dans les 30 jours suivant la date limite de suppression. Le schéma d'export est documenté et stable.

Q · 02

Les employés d'EDMA peuvent-ils accéder à nos données ?

Uniquement dans trois conditions précises : (1) vous avez ouvert un ticket de support et accordé l'accès ; (2) réponse à incident d'urgence nécessitant un accès aux données — auditée, limitée dans le temps, notifiée au client ; (3) décision de justice ou procédure légale — nous nous y opposons et vous notifions sauf interdiction légale. Les opérations standard ne nécessitent aucun accès d'EDMA aux données client. Tous les événements d'accès sont écrits dans votre log d'audit.

Q · 03

Que se passe-t-il si EDMA est rachetée ou ferme ?

Acquisition : les clauses de protection des données client survivent à l'acquisition ; le nouveau propriétaire hérite des termes du DPA. Fermeture : préavis contractuel de 12 mois pour les clients Enterprise avec assistance à la migration des données ; préavis de 6 mois pour tous les autres paliers. Un dépôt open-source des formats de données critiques garantit que la migration reste techniquement faisable même si le personnel d'EDMA n'est pas disponible.

Groupe 02IA & confidentialité3 questions

Q · 04

Nos données sont-elles utilisées pour entraîner des modèles IA ?

Non. EDMA dispose de contrats Zero Data Retention avec Anthropic (Claude), OpenAI et Google (Gemini). Vos prompts et les réponses IA ne sont pas conservés par les fournisseurs au-delà de la durée de l'appel API et ne sont pas utilisés pour l'entraînement. Gemma 4 E4B en local — notre socle de résilience — tourne sur une infrastructure contrôlée par EDMA, ou par vous en déploiement air-gapped.

Q · 05

Pouvons-nous utiliser nos propres clés de fournisseurs IA ?

Oui — au palier Enterprise. Bring Your Own Key (BYOK) pris en charge pour Anthropic, OpenAI, Google, et les endpoints d'inférence LLM hébergés par le client après approbation. Les prompts IA passent par votre compte fournisseur, facturés directement à vous. EDMA ne voit jamais la clé API — elle vit dans votre KMS et est enveloppée à chaque requête.

Q · 06

Et les hallucinations IA dans des contextes financiers ou juridiques ?

Les produits IA opérant sur des contextes financiers ou juridiques (IA juridique, IA comptabilité) incluent un scoring de confiance, des workflows de revue humaine pour les actions à enjeu, et des chaînes d'audit pour chaque artefact généré par l'IA. Les sorties sont en mode brouillon par défaut ; l'approbation humaine est requise avant envoi ou validation. La chaîne d'audit est le registre de qui a revu quoi, quand et sur quelle base.

Groupe 03Sécurité opérationnelle3 questions

Q · 07

Comment les identifiants utilisateurs sont-ils stockés ?

bcrypt avec un cost factor de 12 (adaptatif). La réinitialisation de mot de passe utilise des tokens à usage unique et limités dans le temps. Les passkeys (WebAuthn) sont recommandées plutôt que les mots de passe sur tous les paliers. Le SSO est recommandé plutôt que les identifiants locaux au palier Business+ — les mots de passe sont désactivés au niveau de l'espace de travail lorsque le SSO est imposé.

Q · 08

Comment gérez-vous l'accès administrateur à la production ?

Élévation just-in-time (JIT) requise pour tout accès en production — pas d'accès permanent. Approbation multi-personnes pour les changements en production affectant les données client. Sessions enregistrées pour tous les accès aux bases de données de production. Revues d'accès trimestrielles. Privileged Access Management (PAM) via [Prestataire à confirmer].

Q · 09

Quel est votre cycle de développement logiciel sécurisé ?

Threat modeling en phase de conception. Revue de code obligatoire par 2 ingénieurs ou plus. Tests de sécurité automatisés (SAST, SCA, DAST) en CI. Vulnérabilités de dépendances suivies et corrigées dans le SLA : P1 24 h · P2 7 j · P3 30 j. Aucun secret dans le code source — scanné en pré-commit et post-merge. Formation annuelle au codage sécurisé pour tous les ingénieurs.

Groupe 04Spécificités de conformité3 questions

Q · 10

Êtes-vous conformes au RGPD ?

Oui. EDMA agit en tant que sous-traitant pour les données fournies par le client (ou responsable de traitement pour les données de compte utilisateur). DPA standard inclus dans les contrats Business+. DPA spécifiques au client négociés au palier Enterprise. Demandes d'accès des personnes concernées (DSAR) prises en charge via un workflow intégré au produit avec un SLA de réponse de 30 jours.

Q · 11

Prenez-vous en charge la résidence des données pour [pays spécifique] ?

Régions standard : US (Virginie), UE (Francfort), APAC (Singapour). Le palier Sovereign (Enterprise) prend en charge toute région AWS, GCP ou Azure — environ 25 régions dans le monde. Les exigences spécifiques à certains pays (localisation des données en Russie, Chine, Inde) nécessitent un déploiement Enterprise sur mesure ; contactez les ventes pour le cadrage.

Q · 12

Quel est le SLA de notification de violation ?

Notification du client sous 72 heures suivant la confirmation d'une violation affectant ses données, conformément à l'article 33 du RGPD. Violations substantielles divulguées publiquement via la page de statut dans les 7 jours suivant la confirmation. Rapport post-incident détaillé sous 30 jours. Délais de notification spécifiques au client disponibles dans des contrats Enterprise sur mesure (par exemple notification sous 24 heures pour les clients financiers régulés).

ÉTAPE SUIVANTE

Obtenez le dossier de revue sécurité.

Trois parcours. Choisissez celui qui correspond à l'état de votre évaluation — lecture préliminaire, plongée approfondie sous NDA, ou conversation directe avec l'ingénierie sécurité.

Voie APUBLIC · SANS NDA

Dossier de revue en libre-service

Artefacts publics disponibles sans NDA. Lecture intégrale en 30 minutes. Adapté à une évaluation fournisseur en phase amont.

Résumé exécutif SOC 2 Type II

Certificat ISO 27001:2022

Liste des sous-traitants · trimestre en cours

Résumé exécutif du pentest

Modèle de DPA · forme standard

Télécharger le bundle PDF →

Voie BPROTÉGÉ PAR NDA

Dossier de revue protégé par NDA

Déclenche un NDA mutuel standard via DocuSign. Livré dans les 2 jours ouvrés suivant la signature. Adapté à un processus d'achat actif.

Rapport SOC 2 Type II complet

Déclaration d'Applicabilité ISO 27001

Rapports complets des pentests

Modèle de DPA sur mesure

Playbooks de réponse aux incidents (caviardés)

Demander le dossier sous NDA →

Voie CENTERPRISE

Consultation ingénierie sécurité

Appel de 60 minutes avec l'équipe ingénierie sécurité d'EDMA. Adapté aux exigences complexes et au cadrage de déploiement sur mesure.

Revue de l'architecture de déploiement

Cadrage des exigences sur mesure

Présentation des options BYOK / HYOK

Périmètre & cadence d'audit

Conformité réglementaire spécifique

Réserver une consultation de 60 min →

Contact direct

[email protected]

Pour la divulgation coordonnée de vulnérabilités, les demandes de sécurité urgentes, ou tout ce qui doit court-circuiter les ventes générales. Surveillé 24/7 par l'ingénieur sécurité d'astreinte. Chiffrez les communications sensibles avec la clé PGP affichée à droite.

Clé PGP · [email protected]

EMPREINTE · [À CONFIRMER — 40 CARACTÈRES HEX]-----BEGIN PGP PUBLIC KEY BLOCK----- Version: edma-trade-os v2026.05 [ Public key block — published at edma.trade/.well-known/security.txt ] [ TBD: full ASCII-armored block to be inserted here at production ] [ TBD: key rotation policy — annual, with 90-day overlap ] -----END PGP PUBLIC KEY BLOCK-----