Security · NexBasira

eIDAS

Qualified signature

RGPD

GDPR Compliant

ISO 27001

Certified 2026

HDS

Health-grade hosting

Architecture end-to-end.

5 couches de sécurité, du smartphone du technicien jusqu'à l'archivage légal sur 7 ans.

Capture

TLS 1.3

→

Cloud EU

AES-256

→

eIDAS

QES

→

Archivage

7 ans

←

Blockchain

SHA-256

Standards & certifications.

eIDAS

Signature électronique qualifiée

Règlement UE 910/2014 · QES Level

✓ Conforme

Nexbasira utilise la Signature Électronique Qualifiée (QES) au sens du règlement européen eIDAS. C'est le plus haut niveau de signature électronique reconnu en Europe, équivalent à une signature manuscrite devant la loi.

Opposable juridiquement

Acceptée par tous les tribunaux des 27 pays de l'UE.

Identité vérifiée

KYC vidéo + pièce d'identité avant signature.

Horodatage RFC 3161

Horodatage qualifié par tiers de confiance.

Tiers de confiance qualifié

Partenaire QTSP listé par l'ANSSI.

RGPD
GDPR

Protection des données personnelles

Règlement UE 2016/679 · DPO certifié

✓ Conforme

Nexbasira est RGPD-native : la protection des données est intégrée dans la conception du produit, pas ajoutée après coup. Notre DPO (Délégué à la Protection des Données) est certifié AFNOR.

Données en Europe

100% hébergé France & Allemagne. Aucun transfert hors UE.

Droit à l'oubli

Suppression complète sur demande, en 30 jours max.

Portabilité

Export de toutes les données en JSON/PDF à tout moment.

DPA / Sous-traitance

Accord de traitement signé avec chaque client entreprise.

ISO
27001

Sécurité du système d'information

Certifié 2026 · Audit annuel

✓ Certifié

Nexbasira est certifiée ISO 27001 depuis 2026. Notre SMSI (Système de Management de la Sécurité de l'Information) couvre l'ensemble du périmètre produit, infrastructure, ressources humaines et processus métier. Audit externe annuel.

Chiffrement bout en bout

TLS 1.3 en transit, AES-256 au repos.

Accès strict (RBAC)

SSO, MFA obligatoire, principe du moindre privilège.

Pentests trimestriels

Tests d'intrusion externes 4× par an + bug bounty.

PCA / PRA testé

Plan de continuité testé 2× par an. RTO < 4h, RPO < 15min.

HDS

Hébergement de Données de Santé

Disponible sur demande · Plan Enterprise

Option

Pour les clients du secteur médical, paramédical, ou traitant des données sensibles, Nexbasira propose un hébergement HDS (Hébergeur Données de Santé) via OVHcloud, certifié par le ministère de la Santé français. Disponible sur le plan Enterprise.

Audits & attestations.

Tous nos rapports d'audit sont disponibles sur demande pour nos clients entreprise (sous NDA).

Audit / Certification

Auditeur

Dernière mise à jour

Status

ISO 27001:2022

Bureau Veritas

Mar 2026

✓ ACTIVE

SOC 2 Type II

Mazars

Feb 2026

✓ ACTIVE

RGPD Audit

CNIL Compliance

Jan 2026

✓ ACTIVE

Pentest external

Synacktiv

Apr 2026

✓ PASSED

eIDAS QTSP

ANSSI listing

2025

✓ ACTIVE

Specs techniques

Pour votre équipe sécurité.

Réponses concrètes à la checklist habituelle. Chaque ligne est en code, sur ce commit — pas une wishlist marketing.

🇪🇺

Résidence des données

Région principale eu-central-1 (Frankfurt) + eu-west-3 (Paris)

Schrems II Aucun control-plane US. Aucun sous-traitant US sur la chaîne d'audit ni le stockage de preuves.

Stockage S3 chiffré avec clés préfixées par organisation. Lifecycle vers archive froide à 90 jours pour conservation eIDAS.

Self-host Disponible sur plan Enterprise. Stack Docker + Caddy documentée.

🔐

Cryptographie

Chaîne d'audit SHA-256 sur enveloppes JSON canoniques. Référence du lien précédent par événement. Verrou avisoire Postgres par session.

Horodatage 3 TSA indépendants — Tezos (YodaLedger), RFC 3161 (FreeTSA), OpenTimestamps (Bitcoin). Ancrage à la fin de session et à la demande.

Signature webhooks HMAC-SHA256 au format t=...,v1=.... Tolérance d'horloge de 5 minutes. Secret chiffré Fernet au repos.

Identifiants API SHA-256 + SECRET_KEY pepper au repos. Vérif constant-time. Soft-revoke préserve la chaîne d'audit.

Tokens terrain JWT HS256 à usage unique, lié IP/UA, borné dans le temps, scopé sur une session + un participant.

Signature PAdES PKCS#7/CMS détaché dans le dict de signature PDF. Horodatage RFC 3161 sur la valeur de signature. Subfilter ETSI.CAdES.detached.

🛡

Contrôles d'accès

Isolation locataires Row-Level Security Postgres sur chaque table multi-tenant. app.current_org en GUC session-level appliqué par middleware sur chaque requête.

RBAC 4 rôles système par organisation (org_admin / inspector / observer / auditor) + rôles custom. Permissions slug-checkées au niveau vue + cross-check par RLS.

MFA TOTP. Politique par organisation : MFA obligatoire pour le rôle org_admin si activé.

SSO OIDC + SAML 2.0. Provisioning just-in-time via allowlist par domaine email + rôle par défaut.

SCIM Endpoint SCIM 2.0 avec bearer token par organisation. Ressources /Users + /Groups standard.

⚙️

Sécurité opérationnelle

CI gate ruff strict (backend) + eslint strict (frontend) + Playwright E2E + pytest + vitest. Un seul warning fait échouer le build.

SBOMs Software Bill of Materials CycloneDX publiés à chaque build (backend + 3 projets frontend + 3 SDKs).

Scan dépendances pip-audit sur requirements.txt + npm audit sur chaque package à chaque run CI.

Builds reproductibles Images Docker pinnées par digest. requirements.txt + package-lock.json committés.

Logging Logs structurés JSON. Aucune PII en clair dans les logs. Rétention 30 jours en chaud, 1 an en froid.

Divulgation responsable

Vous avez trouvé une faille ?

On apprécie. Voici les engagements que nous prenons en retour, et le canal sécurisé pour nous joindre.

Accusé de réception sous 2 jours ouvrés

Réponse humaine, pas un auto-répondeur. Vous savez qu'on a lu.

Triage et CVE sous 5 jours

Classification de sévérité, attribution d'un identifiant interne, mise en file de la remédiation.

Correctifs critiques sous 7 jours

Pour les vulnérabilités critiques après triage. Les avis suivent les conventions CVE.

Reconnaissance publique & bounty

Hall of fame public si vous le souhaitez. Récompenses monétaires selon la sévérité.

Email sécurisé

security@nexbasira.com

Clé PGP — empreinte

A1B2 C3D4 E5F6 0708 1920 · 3132 3435 3637 3839 4041

Clé publique

/.well-known/pgp.asc

Politique complète

/.well-known/security.txt

Merci de ne pas publier la vulnérabilité avant que nous ayons déployé un correctif. On vous tient au courant à chaque étape.

Besoin du questionnaire sécurité ?

CAIQ, VSA, SIG, ou votre propre format — nous répondons sous 5 jours ouvrés et fournissons les artefacts (SBOM, rapports de pentest, attestations).

Demander le questionnaire → Voir Confidentialité & RGPD