Hébergement européen
Vercel · régions Frankfurt (eu-central) et Paris (eu-west). Aucune donnée applicative ne quitte l'UE. CDN edge avec terminaison TLS 1.3.
Trust Center
La sécurité comme socle.
Pas comme service annexe.
Valtieri construit des plateformes SaaS qui touchent les fonctions sensibles de ses clients : conformité, posture cyber, gouvernance IA. Nos engagements sécurité ne sont pas une page marketing — ils sont la condition de la relation.
UEHébergement souverain
0Traceurs tiers
Q4 26ISO 27001 visée
Infrastructure
Souveraineté & hébergement
Pas de mystère sur où vos données vivent. Pas de telemetry tierce qui envoie en sourdine vers des outils américains. Tout transite sur des infrastructures opérées dans l'Union européenne.
Pas de traceurs tiers
Pas de Google Analytics, Meta Pixel ni Hotjar. Mesure d'audience anonymisée via Vercel Analytics first-party. Aucun cookie de marketing.
Données client isolées
Produits SaaS construits en multi-tenant strict : isolation logique par tenant_id sur toutes les requêtes, clés de chiffrement par organisation pour Presidio.
Chiffrement bout-en-bout
TLS 1.3 en transit, AES-256 au repos (Vercel KV, Postgres managé EU), backups chiffrés. Secrets en variables d'environnement, jamais dans le code.
Architecture
Sécurité by design, pas en patch
Authentification & accès
MFA TOTP obligatoire sur tous les comptes administratifs. SSO via Keycloak/Azure AD pour les déploiements enterprise. RBAC granulaire avec principle of least privilege.
Audit trail immuable
Chaque action sensible est tracée : auteur, horodatage, ressource, ancien et nouvel état. Logs append-only, conservation 3 ans, exportables au format JSON ou PDF certifié.
Sécurité supply chain
SBOM généré à chaque release, dependency scanning automatique (Renovate + Snyk), commits signés GPG sur la branche main, lock files versionnés.
Tests de pénétration
Test d'intrusion annuel par cabinet certifié PASSI prévu avant toute mise à disposition publique de Presidio. Programme de bug bounty privé en démarrage.
Conformité
Trajectoire réglementaire publique
Nous publions notre état réel — y compris ce qui n'est pas encore certifié. La transparence sur la trajectoire vaut mieux qu'un logo trompeur.
RGPDConforme · by design
Minimisation des données, base légale documentée pour chaque traitement, DPO joignable, registre des activités à jour. Politique de confidentialité publique.
NIS2 & DORACadre appliqué en interne
Mesures de gestion des risques (Art. 21 NIS2), notification d'incident, registre TPRM des sous-traitants critiques, plan de continuité documenté.
ISO/IEC 27001:2022Trajectoire certification · cible Q4 2026
SoA en cours de rédaction, gap analysis terminée sur les 93 contrôles Annexe A, ISMS opérationnel. Audit de certification visé fin 2026.
SOC 2 Type IIEn évaluation · cadrage 2027
Évaluation en cours du périmètre Trust Services Criteria (Sécurité, Disponibilité, Confidentialité). Cadrage budget audit prévu T1 2027.
EU AI ActCadre déployeur appliqué
Cartographie des systèmes IA, classification par niveau de risque (Art. 6-7), gouvernance documentée. Préparation des obligations déployeurs entrant en vigueur août 2026.
Hébergement données de santé (HDS)Non applicable
Valtieri ne traite pas de données de santé. Cette mention figure pour transparence sur le périmètre de nos engagements.
Divulgation responsable
Divulgation responsable des vulnérabilités.
Le cabinet accueille les rapports de vulnérabilité issus de la recherche de sécurité de bonne foi. Pas de poursuites, pas de DMCA. Canal de communication direct avec un associé fondateur et délai de réponse sous 72 heures ouvrées.
Canal sécurisé
security@valtieri.frClé PGP disponible sur demande. Joignez un PoC reproductible, l'impact estimé et votre identifiant pour la mention publique éventuelle.
Ce qu'on s'engage à faire
- Accusé de réception sous 72 heures ouvrées
- Diagnostic et timeline de remédiation sous 14 jours
- Hall of Fame public pour les contributeurs (sauf demande contraire)
- Pas de poursuites pour la recherche menée selon ce cadre
Gouvernance des données
RGPD opérationnel, pas déclaratif
Responsable du traitement
Valtieri SAS · 1 rue de Stockholm · 75008 Paris
DPO joignable : contact@valtieri.fr
Registre des activités de traitement tenu à jour. DPIA réalisée pour les traitements à risque élevé (notamment scoring de conformité).
Vos droits
Accès, rectification, effacement, opposition, portabilité, limitation. Réponse sous un mois maximum, sans frais, sur demande à contact@valtieri.fr.
Réclamation possible auprès de la CNIL (cnil.fr).
Sous-traitants
Liste publique des sous-traitants effectifs : Vercel (hébergement, contrats EU SCC), SendGrid (transactionnel email, EU SCC), Anthropic (IA, EU instance).
DPA disponible pour chaque relation à la demande.
Une question sur notre posture ?
Questionnaire vendor security, due diligence cyber, audit fournisseur — on prend le temps de répondre dans le détail.