Confiance et sécurité

    Contrôles côté sous-traitant pour la plateforme LandingRed. Les équipes achats, juridiques et conformité peuvent répondre ici à leur checklist pré-NDA sans contacter le support.

    Dernière revue: 2026-06-02

    Accord de traitement des données (DPA)

    Un modèle de DPA v1.0 conforme à l'article 28 du RGPD est disponible sur demande (privacy@landingred.com). L'Annexe A définit la portée par client; l'Annexe B décrit les mesures techniques et organisationnelles listées ci-dessous; l'Annexe C liste les sous-traitants ultérieurs actuels. Version italienne disponible.

    Sous-traitants ultérieurs

    Préavis de 30 jours avant toute modification, engagé dans la DPA §6.3. Les tenants peuvent s'y opposer pendant le préavis; les oppositions non résolues entraînent la fin du traitement concerné.

    Sous-traitant ultérieurFinalitéLocalisationMécanisme de transfert
    Hetzner Online GmbHPrimary hosting (EU)Germany / FinlandGDPR-native (intra-EEA)
    Anthropic, PBCLLM provider (own-key tier)United StatesSCCs Module 2
    OpenAI, OpC, LLCLLM provider (own-key tier)United StatesSCCs Module 2
    Brevo SASTransactional emailFranceGDPR-native (intra-EEA)
    Functional Software, Inc. (Sentry)Error trackingUnited StatesSCCs Module 2

    Mesures techniques et organisationnelles (art. 32)

    Contrôles concrets qui mettent en œuvre l'art. 32 du RGPD et l'Annexe A d'ISO 27001. Chaque ligne pointe vers une vraie référence de code; les auditeurs peuvent valider via l'export du journal d'audit partagé en externe.

    • Encryption at rest
      AES-256 (Hetzner infra) + per-field Fernet for sensitive secrets (core/encryption.py)
    • Encryption in transit
      TLS 1.2+ on all endpoints; HSTS pre-load eligible
    • Authentication
      PBKDF2/Argon2 password hashing + TOTP MFA (django_otp) + SAML SSO (Enterprise)
    • Authorization
      Row-level tenant isolation via TenantAwareManager (1,318 LoC of dedicated isolation tests)
    • Audit trail
      Append-only AuditLog with DB-level immutability (10-year retention floor for AI-Act-scoped rows)
    • Backups
      Daily pg_dump + 7-day rolling on-host retention + pre-deploy snapshots
    • Incident response
      Documented runbook (docs/deploy-recovery.md) + 72h breach-notification commitment in DPA §6.6

    Certifications du fournisseur

    Les matrices de préparation pour ISO 27001, SOC 2 et ISO 42001 sont maintenues en interne; les engagements de certification suivent la feuille de route publiée. Lettres d'attestation disponibles sous NDA.

    • ISO 27001:2022
      Readiness matrix maintained; certification roadmap on file
    • SOC 2 Type II
      Readiness matrix maintained; Type I assessment scheduled
    • ISO 42001:2023 (AI Management System)
      Readiness matrix (38 Annex A controls + 7 clauses); first-mover certification track

    Divulgation des vulnérabilités

    Nous suivons RFC 9116. Le contact machine-lisible et les métadonnées de chiffrement sont publiés à /.well-known/security.txt. Divulgation coordonnée: signalez à security@landingred.com; nous accusons réception sous 24 heures.

    Contact

    Pour les questions liées aux achats, aux DPA ou à la sécurité: privacy@landingred.com. Pour le signalement de vulnérabilités, consultez la section dédiée ci-dessous et notre point d'accès RFC 9116 /.well-known/security.txt.