Sécurité & Conformité — PHANTOM Validation Engine
Dernière mise à jour : 2026-05-18
Cette page documente notre posture sécurité actuelle, nos sous-traitants certifiés et notre roadmap de conformité. Les certifications listées sont celles effectivement obtenues. Pour les acquéreurs institutionnels et les clients DORA/MiFID II, c'est le point d'entrée de notre due diligence sécurité.
Périmètre de conformité
PHANTOM Validation Engine est porté par un fondateur solo, en pré-lancement commercial (Q2 2026). Nous n'avons pas encore obtenu nos propres certifications SOC 2 Type I/II ou ISO 27001. Notre infrastructure hérite de la conformité de nos sous-traitants (voir ci-dessous), ce qui ne constitue pas une certification PHANTOM. La roadmap de conformité est détaillée plus bas.
Sous-traitants & conformité héritée
L'infrastructure et les services tiers que nous utilisons disposent des certifications suivantes (vérifiables directement chez chaque fournisseur) :
| Sous-traitant | Usage | Certifications | Source |
|---|---|---|---|
| Render | Hébergement applicatif | SOC 2 Type II | render.com/security |
| AWS | Cloud sous-jacent (via Render) | SOC 2, ISO 27001, ISO 27017, ISO 27018, PCI DSS | aws.amazon.com/compliance |
| Stripe | Paiements | PCI DSS Level 1, SOC 1/2 Type II | stripe.com/security |
| Resend | Emails transactionnels | SOC 2 Type II | resend.com/security |
| PostgreSQL (Render-managed) | Base de données | Chiffrement at-rest, backups quotidiens | Géré par Render |
La conformité de nos sous-traitants ne constitue pas une certification de PHANTOM. Pour obtenir leur rapport SOC 2 / ISO 27001 complet, contactez directement le fournisseur sous NDA.
Contrôles de sécurité applicative
Signature cryptographique
Tous les dossiers d'audit PHANTOM sont signés HMAC-SHA256 et vérifiables offline avec notre outil open-source. Indépendance vs disponibilité plateforme.
Chiffrement transport
TLS 1.3 forcé end-to-end. HSTS activé. Certificats Let's Encrypt rotation automatique.
Protection CSRF & XSS
Double-submit cookie CSRF sur toutes les requêtes mutantes. Content-Security-Policy stricte. Sanitisation côté serveur.
Authentification
Bcrypt 12 rounds. Sessions HttpOnly + Secure cookies. Rate limiting login. Pas de stockage de mot de passe clair.
Sécurité paiements
Aucun stockage de données carte côté PHANTOM. Webhooks Stripe vérifiés par signature. Stripe = sous-traitant PCI DSS Level 1.
Supply chain
SBOM publié (CycloneDX). Dépendances pinned. Scan Dependabot/Renovate automatique. Audit régulier vulnérabilités CVE.
Protection des données
- Chiffrement at-rest des bases de données PostgreSQL (AES-256, géré par Render)
- Backups quotidiens automatisés, rétention 7 jours minimum (Render-managed)
- RGPD : DPA disponible sur demande pour les clients EU (cf. /confidentialite)
- Hébergement : Render régions EU (Frankfurt) ou US selon plan client
- Pas de profilage automatisé, pas de partage de données client à des tiers à des fins commerciales
- Suppression complète des données client sur demande sous 30 jours (RGPD Art. 17)
Roadmap conformité
| Certification | Statut | Cible | Notes |
|---|---|---|---|
| RC Pro | Active | En vigueur | Responsabilité civile professionnelle souscrite. Attestation fournie sur demande. |
| CAIQ Lite | Disponible | Sur demande | Questionnaire Cloud Security Alliance CAIQ Lite complété. Disponible sous NDA. |
| DORA mapping | Documenté | En vigueur | Mapping article-par-article DORA Art. 11, MiFID II RTS 6, NIST AI RMF, SOC 2 TSC disponible sous NDA. |
| Penetration test | Planifié | Q3 2026 | Test d'intrusion indépendant prévu post-traction commerciale. Rapport disponible sous NDA aux clients institutionnels. |
| SOC 2 Type I | Pas encore | Q4 2026 / Q1 2027 | Audit ciblé post Series A ou post-acquisition. Préparation policies/contrôles en cours. |
| SOC 2 Type II | Pas encore | 2027 H2 | Nécessite 6-12 mois d'observation continue post-Type I. Délai naturel après obtention Type I. |
| ISO 27001 | Pas encore | 2027 H2 | ISMS à mettre en place. Audit Stage 1 + Stage 2. Coût et effort élevés, conditionné à scale commercial. |
Responsabilités client (DORA, MiFID II)
Pour les charges de travail régulées (DORA Art. 28-30 third-party risk, MiFID II RTS 6 algorithmic trading), les clients doivent :
- Conduire leur propre due diligence sur PHANTOM en tant que ICT third-party service provider (DORA Art. 28). Notre CAIQ Lite + DORA mapping facilite cette analyse.
- Vérifier les dossiers signés HMAC offline avec notre outil open-source. Cela garantit l'intégrité indépendamment de la disponibilité de notre plateforme.
- Demander un DPA (Data Processing Agreement) personnalisé si traitement de données personnelles régulées (RGPD Art. 28).
- Conserver localement une copie des dossiers d'audit pour conformité longue durée (DORA exige 5 ans minimum de rétention).
- Documenter PHANTOM dans leur registre d'information ICT third-party (DORA Art. 28(3)).
Contact sécurité & vulnerability disclosure
Pour signaler une vulnérabilité de sécurité, demander notre CAIQ Lite, ou obtenir un DPA personnalisé :
Email sécurité dédié :
security@phantom-research.fr
Réponse sous 72h ouvrées. Pour vulnérabilités critiques, mentionner [CRITICAL] en objet.
Nous suivons les principes de Responsible Disclosure. Pas de bug bounty monétaire à ce stade mais reconnaissance publique possible (hall of fame /trust).
Ressources liées
Notre engagement :
Cette page reflète l'état de notre posture sécurité à la date indiquée. Une certification n'est mentionnée que lorsqu'elle est obtenue, et un fournisseur n'est listé qu'après vérification de son statut officiel. Pour signaler une inexactitude, écrivez à security@phantom-research.fr — correction sous 48 h.