Vos transactions transitent par une infrastructure pensée pour résister à des attaques de niveau financier. PCI SAQ-A, TLS 1.3, isolation forte, observabilité continue. Voici comment on s'y prend.
Chaque couche est conçue avec le principe du moindre privilège et la défense en profondeur.
TLS 1.3 obligatoire, AES-256 au repos, HMAC-SHA256 sur les webhooks. Aucun trafic en clair.
Tenancy logique par client, isolation réseau VPC, secrets gérés via Vault, KMS dédié.
PCI SAQ-A maintenue, RGPD natif, DSP2/SCA, audit logs immuables 12 mois.
SOC interne 24/7, SIEM temps réel, alerting PagerDuty, runbooks publics.
Pas du marketing. Des choix d'ingénierie audités par des pairs.
SSO SAML/OIDC sur Nova. MFA TOTP obligatoire sur tous les comptes admin. Rôles à granularité fine (read-only, billing, admin, owner). Sessions chiffrées, rotation des secrets toutes les 24h.
Toutes les données au repos sont chiffrées en AES-256-GCM. Clés gérées par AWS KMS avec rotation automatique annuelle. Sauvegardes Postgres encryptées et répliquées sur 3 zones de disponibilité.
TLS 1.3 uniquement côté public, HSTS avec preload, HPKP. En interne, communications service-to-service en mTLS avec certificats SPIFFE éphémères.
Chaque webhook est signé avec un secret partagé. Vérification timestamp pour éviter les rejeux. Rotation possible à chaud depuis le dashboard.
HashiCorp Vault Enterprise pour tous les secrets applicatifs. Aucune clé en variable d'environnement statique. Audit complet des accès, expiration courte par défaut (24h).
VPC privé avec routes IGW restrictives. WAF Cloudflare en front avec règles OWASP, bot management, rate limiting agressif. Protection DDoS L3/L4 et L7.
SIEM Datadog avec corrélation temps réel, alerting PagerDuty 24/7. SLOs publics. Tous les post-mortems sont publiés à status.qauryx.io.
SAST via Semgrep sur chaque PR. SCA Snyk pour les dépendances. Build SLSA-3 reproductible, images signées avec Cosign, déploiement attesté.
Sauvegardes incrémentales toutes les 5 minutes répliquées multi-région. Failover Paris → Francfort testé en gameday trimestriel.
Nos rapports d'audit complets sont disponibles sous NDA via votre Customer Success.
Statut PCI SAQ-A maintenu en continu — aucune donnée carte ne transite par nos serveurs.
✓ ACTIVE · v4.0Audit en cours, rapport attendu pour Q3 2026 par un cabinet Big4.
⧗ Q3 2026DPO interne, registre des traitements à jour, DPAs signés par défaut.
✓ CONFORMERoadmap engagée, certification visée pour fin 2026.
⧗ Q4 2026Nous récompensons les chercheurs qui nous aident à trouver des failles. Programme privé via YesWeHack, accessible sur demande, avec scope clair et SLA strict.
Signaler une vulnérabilitéSOC 2, pentest report, DPA, questionnaire vendeur. Disponibles sous NDA pour les prospects en évaluation.