Sécurité et conformité
Transparence totale sur notre architecture sécurité, nos sous-processeurs, et notre roadmap certifications. Pas de marketing flou — les vraies pages techniques pour vos équipes IT et juridiques.
Infrastructure et hébergement
Toutes les données clients sont hébergées sur Supabase EU(régions Irlande et Francfort). Aucun transfert transatlantique n'est nécessaire pour le fonctionnement du produit. Les communications sont chiffrées en transit (TLS 1.3) et au repos (AES-256 côté Supabase).
L'application Next.js est déployée sur Hostinger (datacenters européens). Les passes Apple Wallet sont générés dans nos edge functions Supabase (Deno, EU) et signés avec notre certificat développeur Apple — aucun composant de génération ne tourne aux États-Unis.
Le scanner offline côté commerçant chiffre localement chaque scan avec AES-256-GCM avant synchronisation. En cas de vol du téléphone, les scans non synchronisés sont illisibles sans la clé utilisateur.
Conformité RGPD
DPA signé par défaut
Chaque abonnement payant inclut un Data Processing Agreement pré-signé. Plan gratuit sur demande (email contact).
Minimisation des données
Nous collectons strictement le nécessaire : prénom, email, anniversaire optionnel. Pas de tracking comportemental, pas de pixel publicitaire tiers.
Droits RGPD natifs
Export des données (JSON) et suppression de compte accessibles directement depuis la carte de fidélité du client. Hard-delete conforme au droit à l'oubli.
Sous-processeurs listés
Supabase (EU), Stripe (Dublin), APNs (Apple pour la livraison des passes). Aucun data broker, aucun analytics tiers par défaut.
Rétention configurable
Les données clients inactifs peuvent être purgées automatiquement après une période configurable (défaut 24 mois).
Breach notification
En cas d'incident de sécurité, notification sous 72h conformément à l'article 33 RGPD. Équipe sécurité contactable 24/7.
Sous-processeurs
| Sous-processeur | Usage | Localisation | Certifications |
|---|---|---|---|
| Supabase | Base de données, auth, storage, edge functions | Irlande / Allemagne (EU) | SOC 2 Type II, ISO 27001, HIPAA |
| Stripe | Paiement des abonnements HanyPass | Dublin (EU) | PCI DSS Level 1, SOC 2, ISO 27001 |
| Apple Push Notification Service | Livraison des mises à jour de cartes Wallet | USA (Apple) | Standards Apple + agrégat passes |
| Google Cloud (Google Wallet API) | Génération passes Google Wallet | USA (Google) | SOC 2, ISO 27001 |
| Sentry | Monitoring erreurs applicatives (opt-in) | EU (Frankfurt) | SOC 2 |
| Hostinger | Hébergement de l'application Next.js | Lituanie / France (EU) | ISO 27001 |
Note : Apple et Google reçoivent uniquement le contenu du pass (pas les données profil client). Le profil client reste exclusivement dans Supabase EU.
Certifications et roadmap
Acquis
- • Architecture conforme RGPD
- • Chiffrement TLS 1.3 en transit
- • Chiffrement AES-256 au repos
- • HSTS preload + CSP strict
- • Sous-processeurs publics et certifiés
En cours 2026
- • SOC 2 Type II — audit prévu Q3 2026
- • ISO 27001 — préparation avec auditeur externe
- • Pen test annuel par cabinet externe
- • Bug bounty privé (HackerOne sur demande)
2027+
- • EU Cloud Code of Conduct signataire
- • Certification CNIL (certification de conformité RGPD)
- • Bug bounty public
Contact sécurité
Pour signaler une vulnérabilité, contacter responsible disclosure :security@hanypass.com
Pour obtenir le questionnaire sécurité détaillé, le DPA ou l'inventaire sous-processeurs :contact@hanypass.com
Notre fichier security.txt expose les points de contact standard IETF RFC 9116.
Vous êtes en phase d'évaluation pour votre équipe enterprise ?
Demander le questionnaire sécurité complet →