Programme de conformité
Là où la réglementation rencontre un SaaS de gestion du personnel, et comment nous y répondons. État réel du programme : ce qui est en production, ce qui est en cours, et ce qui n'est volontairement pas encore inscrit à la feuille de route.
Cadre de conformité
svdy exploite un programme de conformité continu plutôt qu'une checklist ponctuelle. Concrètement :
• Privacy by Design — chaque nouvelle fonctionnalité passe par une analyse d'impact sur la vie privée avant le merge si elle touche des PII. Le journal d'audit confidentialité Wave 1-4 vit dans notre tracker interne ; les résultats visibles sont le flux de consentement reconnaissance faciale article 9 RGPD, le mécanisme de droit à l'effacement et la fenêtre de suppression des données client de 30 jours après résiliation.
• Contrôles documentés — politiques de sécurité (contrôle d'accès, gestion des changements, gestion des fournisseurs, réponse aux incidents) versionnées et revues annuellement.
• Gestion des fournisseurs — chaque sous-traitant ultérieur subit une revue d'admission documentée avant l'accès aux données client. Les 5 sous-traitants ultérieurs actuels sont listés sur /trust/sub-processors ; les mises à jour déclenchent une notification client sur 30 jours.
• Surveillance continue — avant SOC 2, en interne (journaux d'audit, revues d'accès, tickets de change). Une fois Vanta câblé (T3-T4 2026), la collecte de preuves devient continue et auditable en externe.
• Radar réglementaire — nous suivons la législation qui affecte notre base client (lois de confidentialité d'État US, NIS2 UE, PIPL Chine, LGPD Brésil) et ajustons notre DPA + fonctionnalités produit avec l'élargissement du périmètre.
Standards que nous suivons
Nous nous alignons sur ces référentiels standards de l'industrie. Suivre ≠ certifié — voir /trust/soc2 pour ce qui est formellement audité et quand.
• NIST Cybersecurity Framework (CSF) 2.0: Contrôles internes alignés sur Identify / Protect / Detect / Respond / Recover. Auto-évalué ; base pour l'audit SOC 2 Type II (à partir de T1 2027).
• OWASP Top 10 (application web): La pratique d'ingénierie couvre l'OWASP Top 10 (2021) : prévention d'injection via requêtes paramétrées, contrôle d'accès brisé via requêtes limitées au tenant, etc. Outils SAST exécutés avant merge ; SCA via Dependabot.
• CIS AWS Foundations Benchmark: Configuration AWS alignée sur les contrôles CIS Foundations v2.0 — IAM moindre privilège, MFA sur root, EBS chiffré, S3 block public access, journaux d'audit centralisés. Auto-attesté aujourd'hui ; l'audit SOC 2 validera T2 2027.
• ISO/IEC 27001 — directionnel, non certifié: Notre ensemble de contrôles emprunte aux contrôles Annexe A de l'ISO 27001. La certification formelle est une phase 2 (post-SOC 2 Type II, probablement 2027-2028) — initiée seulement si les clients entreprise UE en font la demande.
Réglementations régionales
Là où les données client svdy touchent des juridictions réglementées et notre posture pour chacune :
• Union européenne et Royaume-Uni: RGPD (UE 2016/679), UK GDPR + Data Protection Act 2018, Directive ePrivacy (cookies)
Clients UE + UK couverts par nos Clauses Contractuelles Types (version 2021) plus l'UK Addendum, inclus dans le DPA sur /trust/dpa. La Politique de confidentialité est alignée sur l'article 13/14 du RGPD. Mécanisme des droits du sujet via legal@svdy.com, réponse sous 30 jours. Résidence des données : us-east-1 aujourd'hui ; disponibilité région UE / APAC sur la roadmap niveau Enterprise (2027).
• États-Unis: CCPA / CPRA (Californie), VCDPA (Virginie), CPA (Colorado), CTDPA (Connecticut), UCPA (Utah)
Nous respectons Do-Not-Sell, Right-to-Know et Right-to-Delete sous toutes les lois de confidentialité d'État US applicables. La Politique de confidentialité inclut les divulgations de catégories obligatoires CCPA et les fenêtres de rétention. Nous ne vendons PAS d'informations personnelles au sens du §1798.140(t).
• Brésil et APAC: LGPD (Brésil), Singapore PDPA, Australia Privacy Act
Adhésion dans le périmètre où la base client existe. Les exigences de localisation des données du PIPL Chine ne sont actuellement pas remplies (pas de résidence des données en Chine continentale) ; les clients avec une main-d'œuvre en Chine continentale doivent conserver ces données offshore dans notre région us-east-1 existante jusqu'au déploiement région LATAM / APAC (post-2027).
Audits et attestations
Ce qui est réellement audité aujourd'hui, ce qui arrive, ce que nous ne poursuivons délibérément pas :
• SOC 2 Type II — EN COURS: Lancement d'audit visé T1 2027 (6 mois d'observation), rapport émis T3 2027. Vanta + A-LIGN sélectionnés. Chronologie publique sur /trust/soc2.
• RGPD — auto-évalué: Le RGPD n'a pas de certification formelle de conformité (les régulateurs ne délivrent pas de certificats). Nous maintenons une architecture prête RGPD vérifiée par notre audit interne de confidentialité Wave 1-4. Notre DPA est disponible sur demande à /trust/dpa pour les clients ayant besoin d'un accord écrit avec un sous-traitant.
• ISO 27001 — phase 2: Pas encore engagé. Attendu post-SOC 2 (2027-2028) si la demande entreprise UE justifie le coût d'audit. Mise à jour sur /trust/soc2 lors du démarrage.
• HIPAA / PCI-DSS / FedRAMP — hors périmètre: svdy n'est pas actuellement un HIPAA business associate, n'est pas dans le périmètre PCI-DSS (Stripe gère les cardholder data sur sa plateforme certifiée) et ne poursuit pas FedRAMP. Les clients fédéraux / industries réglementées doivent contacter support@svdy.com avant l'inscription pour discuter de la prise en charge de leur besoin de conformité spécifique.
Besoin de notre documentation de conformité, d'attestations réglementaires régionales ou de la chronologie SOC 2 ? Écrivez à legal@svdy.com — voir l'avancement SOC 2 sur /trust/soc2.
