NeurolyssNeurolyss
Opérationnel Connexion Demander un accès
§00 · POSTURE SÉCURITÉ

La sécurité par construction.

Aucun PAN traversé. Chiffrement de bout en bout. Audit log signé HMAC. Hébergement UE certifié ISO 27001 / SOC 2 Type II.

PCISAQ-A · STRIPE-INHERITED
CHIFFREMENTTLS 1.3 · AES-256
CERTIFISO 27001 · SOC 2 II
DISCLOSURE90 JOURS
§01Posture sécuritéPolitique de divulgation · 90 jours
/ 01 · PCI

Périmètre PCI SAQ-A

Hérité de Stripe Elements. Aucun PAN ne traverse nos serveurs. Les iframes Stripe gardent la responsabilité PCI.

CERT · STRIPE-INHERITED
/ 02 · DATA

Données chiffrées

TLS 1.3 en transit. AES-256 au repos. Clés gérées par AWS KMS / Hashicorp Vault, rotation 90 jours.

CIPHER · AES-256 · TLS 1.3
/ 03 · HOSTING

Hébergement UE

Régions Francfort et Paris. Fournisseur certifié ISO 27001 et SOC 2 Type II. Aucun transfert hors UE.

ISO 27001 · SOC 2 II
/ 04 · ACCESS

SSO + MFA obligatoires

Accès interne via SSO (OIDC) + MFA (TOTP ou clé matérielle). Aucun accès partagé. Audit log de chaque session.

OIDC · TOTP · FIDO2
/ 05 · AUDIT

Audit log signé

Toutes les décisions et requêtes API sont signées HMAC SHA-256 et conservées 12 mois minimum. Exportables SOX-ready.

HMAC SHA-256 · 12 MOIS
/ 06 · DR

Plan de continuité

Sauvegardes chiffrées toutes les 6 h, multi-AZ. RTO 4 h, RPO 1 h. Tests de bascule trimestriels.

RTO 4 H · RPO 1 H
§02Signalement de vulnérabilitéDisclosure responsable

Si vous découvrez une vulnérabilité, signalez-la à contact@neurolyss.com. Vous recevrez un accusé sous 48 h ouvrées.

Nous appliquons une politique de divulgation responsable de 90 jours. Nous nous engageons à corriger ou à publier un avis dans ce délai, et à créditer publiquement le découvreur (sauf demande contraire).

Aucune action en justice ne sera engagée contre les chercheurs respectant cette politique et opérant en bonne foi.