Dernière mise à jour : 30 avril 2026

Sécurité & Conformité

Revold traite des données CRM sensibles (contacts B2B, deals, factures). Nous appliquons une politique de sécurité defense-in-depthet hébergeons l'intégralité des données de production en Union européenne. Cette page documente précisément nos pratiques pour que vos équipes sécurité et juridique disposent de tous les éléments avant de signer.

Hébergement

100 % UE

Frankfurt — Vercel + Supabase

Chiffrement

TLS 1.3 + AES-256

En transit + au repos

Conformité

RGPD · DPA · SOC 2

SOC 2 Type 1 visé Q4 2026

Hébergement & localisation des données

L'intégralité des données client (production et sauvegardes) est hébergée dans des datacenters situés en Allemagne (Frankfurt) au sein de l'Union européenne. Aucune donnée client n'est transférée hors UE dans le cadre du fonctionnement nominal du service.

  • Application : Vercel — région fra1 (Frankfurt, Allemagne).
  • Base de données + Auth : Supabase — projet eu-central-1 (Frankfurt, AWS).
  • Sauvegardes : snapshots Supabase quotidiens, conservés 7 jours, dans la même région UE.
  • Logs : Vercel + Supabase, conservation 30 jours, anonymisés au-delà.

Chiffrement

  • En transit : TLS 1.3 obligatoire sur toutes les communications (HTTPS strict, HSTS activé).
  • Au repos : AES-256 sur le stockage Supabase + EBS chiffrés AWS KMS.
  • Tokens d'intégration : access_token et refresh_token OAuth (HubSpot, Stripe, Pennylane…) stockés en base avec accès restreint par RLS, jamais loggés.
  • Secrets applicatifs : variables d'environnement Vercel chiffrées, accessibles uniquement au runtime.

Authentification & contrôle d'accès

  • Supabase Auth : email/password + magic link, hashing bcrypt, JWT signés.
  • Sessions : refresh automatique via middleware edge, expiration configurable.
  • OAuth2 tiers : refresh token rotation pour HubSpot ; révocation côté Revold = révocation effective de l'accès au CRM.
  • RBAC (en cours) : 3 rôles (admin / manager / rep) + audit log d'actions sensibles.
  • SSO / SAML : sur la roadmap Enterprise (V2.7).

Isolation multi-tenant

Chaque organisation cliente dispose de ses propres données strictement isolées au niveau base via Row Level Security (RLS) PostgreSQL. Toutes les tables exposant des données client portent une colonne organization_idcontrôlée par des policies RLS qui s'exécutent dans la base elle-même : un utilisateur authentifié ne peut techniquement pas accéder aux données d'une autre organisation, même via une requête SQL forgée.

Sous-processeurs

Liste exhaustive des sous-processeurs qui interviennent dans le traitement de données pour le compte de Revold, avec leur région et leurs certifications. Cette liste est mise à jour avant tout ajout, avec préavis de 30 jours pour les clients sous DPA.

Sous-processeurFinalitéRégionCertifications
VercelHébergement applicatif (Next.js)Frankfurt (fra1) — AllemagneSOC 2 Type II, ISO 27001, GDPR DPA
SupabaseBase de données PostgreSQL + AuthFrankfurt (eu-central-1, AWS) — AllemagneSOC 2 Type II, HIPAA, GDPR DPA
AnthropicGénération d'insights IA (Claude)EU (Ireland) — pas de training sur les donnéesSOC 2 Type II, GDPR DPA, zero data retention
StripePaiements & abonnements (futur)EU (Irlande) — données carte hors RevoldPCI DSS Level 1, SOC 1/2, GDPR DPA
ResendEnvoi d'emails transactionnelsEU (Frankfurt)SOC 2 Type II, GDPR DPA

Continuité d'activité & sauvegardes

  • Sauvegardes : snapshots quotidiens automatiques de la base Supabase, rétention 7 jours, restauration testée trimestriellement.
  • RPO (Recovery Point Objective) : ≤ 24 h.
  • RTO (Recovery Time Objective) : ≤ 4 h pour la base, ≤ 30 min pour l'application.
  • Multi-AZ : Supabase eu-central-1 sur AWS, redondance entre zones de disponibilité.

Monitoring & journalisation

  • Logs applicatifs : Vercel runtime logs, conservation 30 jours, accès restreint à 2 personnes.
  • Logs de sync : table sync_logs par organisation, accessibles depuis Paramètres → Intégrations.
  • Audit log (en cours) : actions sensibles (connexion, changement de rôle, export, suppression) tracées avec horodatage et acteur.
  • Détection d'anomalies : alertes automatiques sur erreurs 5xx, échecs de sync répétés, connexions suspectes.

Réponse aux incidents

En cas d'incident de sécurité avéré :

  • Confinement et investigation immédiate.
  • Notification aux clients affectés sous 72 h conformément à l'article 33 RGPD.
  • Notification à la CNIL le cas échéant.
  • Post-mortem public avec timeline, cause racine et mesures correctives.

Tests d'intrusion & divulgation responsable

  • Pen test annuel par un cabinet externe indépendant (premier audit prévu Q3 2026).
  • Programme de divulgation responsable : envoyez vos rapports à security@revold.io. Nous accusons réception sous 48 h ouvrées et nous nous engageons à ne pas poursuivre les chercheurs agissant de bonne foi.
  • SCA + Dependabot : revue automatique des dépendances open-source, patches CVE appliqués sous 7 jours pour les sévérités critiques.

Conformité & engagements contractuels

  • RGPD : Revold est responsable conjoint avec ses clients pour les données traitées (voir page RGPD).
  • DPA (Data Processing Agreement) : signature électronique disponible à la demande pour tout client B2B, intégré aux conditions générales (voir notre DPA).
  • SOC 2 Type 1 : audit visé Q4 2026.
  • SOC 2 Type 2 : période d'observation de 12 mois après Type 1, donc finalisation visée Q4 2027.
  • HDS (santé) : non applicable, Revold ne traite pas de données de santé.

Contact sécurité

DPO et équipe sécurité : security@revold.io.
Pour les demandes RGPD (accès, rectification, suppression) : dpo@revold.io.

Documents complémentaires