Vos données méritent de la transparence,
pas des promesses.
Voici exactement où vos données sont hébergées, quels sous-traitants nous utilisons et quelles mesures techniques et organisationnelles sont en place.
Hébergement des données applicatives : Union européenne
Les données applicatives (comptes, diagnostics, politiques générées, preuves uploadées, audit trail) sont hébergées chez Supabase EU (Frankfurt, Allemagne). Le backend FastAPI (logique métier) tourne sur Hetzner (France). Aucune donnée client n'est stockée aux États-Unis.
Sous-traitants (au sens RGPD Art. 28)
Liste exhaustive des sous-traitants techniques Kyrionn. Chaque sous-traitant est soumis à un accord de traitement des données (DPA) conforme RGPD.
Supabase
Base de données + Authentification
- Localisation
- Frankfurt, Allemagne (UE)
- Données traitées
- Données applicatives chiffrées, utilisateurs, sessions, audit trail
- Certifications
- SOC 2 Type II, ISO 27001, HIPAA
Hetzner
Backend FastAPI
- Localisation
- Falkenstein / Nuremberg, France
- Données traitées
- Exécution logique métier, pas de stockage persistant de données client
- Certifications
- ISO 27001, ISAE 3402
Vercel
CDN et hébergement frontend
- Localisation
- Edge Global (réseau CDN)
- Données traitées
- Pages statiques, assets, proxy API (pas de stockage métier)
- Certifications
- SOC 2 Type II, ISO 27001
Resend
Envoi d'emails transactionnels
- Localisation
- États-Unis
- Données traitées
- Adresses email + contenu transactionnel (welcome, MFA, notifications)
- Certifications
- SOC 2 Type II
Anthropic
IA générative (politiques, rapports, SOA)
- Localisation
- États-Unis
- Données traitées
- Prompts transitoires, zéro stockage de données client après génération
- Certifications
- SOC 2 Type II
Mesures techniques
Chiffrement en transit
TLS 1.3 sur toutes les communications (navigateur, API, base de données). Certificats gérés automatiquement.
Chiffrement au repos
AES-256 sur les données stockées dans Supabase et les sauvegardes chiffrées.
Authentification forte
MFA TOTP disponible, SSO Google OAuth, mots de passe hashés (bcrypt). Pas de mots de passe faibles acceptés.
Isolation par organisation
Row Level Security (RLS) PostgreSQL sur toutes les tables métier. Un utilisateur ne voit que les données de son organisation.
Audit trail complet
Journalisation horodatée de toutes les actions sensibles (création, modification, export, accès admin). Conforme ISO 27001 A.8.15.
Détection d'erreurs
Sentry en prod sur web et backend. Alertes automatiques en cas d'anomalie.
Rate limiting
Limitation du nombre de requêtes par IP et par compte pour prévenir les abus.
Sauvegardes quotidiennes
Sauvegardes Supabase automatiques quotidiennes, rétention 30 jours, restauration point-in-time disponible.
Mesures organisationnelles
- Principe du moindre privilège sur les accès internes (1 seul fondateur administrateur aujourd'hui)
- Revue trimestrielle des accès et secrets (rotation planifiée des clés critiques)
- Secrets de production marqués Sensitive sur Vercel (non lisibles après création)
- Politique de divulgation responsable en place (contact : contact@pk-infosec.com)
- Veille continue des vulnérabilités (CVE, Dependabot sur le repo)
- Environnements séparés : development, preview, production
Gestion des incidents de sécurité
En cas d'incident de sécurité affectant vos données personnelles :
- 1.Notification à la CNIL dans les 72 heures (conforme RGPD Art. 33).
- 2.Notification aux clients concernés dans les meilleurs délais (RGPD Art. 34).
- 3.Rapport post-mortem publié publiquement sur cette page et /changelog.
Certifications et conformité
Kyrionn est actuellement en bêta privée. Nous progressons vers les certifications suivantes :
- Q1 2027SOC 2 Type I de Kyrionn en tant que plateforme
- Q2 2027SOC 2 Type II (12 mois d'observation)
- Q3 2027ISO 27001:2022 (certification Kyrionn)
En attendant, nos sous-traitants sont tous SOC 2 Type II et/ou ISO 27001 (voir tableau ci-dessus).
Questions sur la sécurité ?
Pour toute question sécurité, demande de DPA, rapport de vulnérabilité ou échange avec votre RSSI, contactez-nous directement.
L'équipe répond depuis contact@pk-infosec.com
Dernière mise à jour : 22 avril 2026