SÉCURITÉ

Notre sécurité est transparente.
Vérifiez-le.

Goodweek est construit sur une architecture pensée sécurité dès le départ : contrôles audités, infrastructure isolée, protection stricte des données. Tout est documenté, vérifiable et accessible sur demande.

SOC 2 Type I auditéConforme RGPDSOC 2 Type II en cours
Accéder au Trust Center

Résumé des contrôles de sécurité

Ce que nous garantissons

Domaine
Contrôle
Isolation des tenants
Environnements dédiés par client, aucune couche de données partagée
Chiffrement
AES-256 au repos, TLS 1.2+ en transit
Contrôle d'accès
Basé sur les rôles, approuvé, révisé trimestriellement selon le principe du moindre privilège
Résidence des données
UE : AWS Paris + Scalingo · US : AWS US

Infrastructure

Infrastructure sécurisée et conforme par région

Hébergement et résidence des données

  • ·Les clients UE sont hébergés sur AWS Paris (eu-west-3) et Scalingo, France
  • ·Les clients US sont hébergés sur les régions AWS US
  • ·La résidence des données est appliquée au niveau de l'infrastructure, pas gérée par politique seule
  • ·Architecture haute disponibilité avec failover automatique

Chiffrement

  • ·Données au repos : AES-256
  • ·Données en transit : TLS 1.2 minimum
  • ·Appliqué de manière cohérente sur tous les environnements et services

Traitement des données IA

Comment nous utilisons l'IA sans compromettre vos données

  • Les données envoyées aux fournisseurs d'IA sont limitées au strict nécessaire pour traiter la requête
  • Les données traitées ne persistent pas en dehors de l'infrastructure Goodweek
  • La liste complète des sous-traitants IA est maintenue et publiée dans notre Trust Center
  • Les fournisseurs d'IA opèrent sous des Data Processing Agreements : aucune rétention de données, aucun entraînement de modèles

Conformité et procurement

Les avantages de l'IA, sans le risque de conformité — On facilite votre processus de revue sécurité

Cadre réglementaire

  • ·Traitement des données conforme au RGPD, avec des procédures documentées pour les demandes de droits des personnes concernées (accès, rectification, suppression et portabilité)
  • ·Calendriers de rétention des données définis avec suppression appliquée en fin de période
  • ·Tous les sous-traitants sont évalués sur les aspects sécurité avant onboarding et listés dans notre Trust Center
  • ·Aucun partage ou transfert de données sans base contractuelle explicite

Ce qui est disponible pour votre revue sécurité

  • DPA disponible sur demande
  • Questionnaires de sécurité acceptés
  • Rapport SOC 2 Type I disponible sous NDA
  • Liste des sous-traitants disponible dans le Trust Center
  • Vue d'ensemble de l'architecture disponible pour les revues qualifiées

Tests de sécurité

On ne présume pas être sécurisé — on le vérifie en continu

Cadence des tests

  • ·Scan de vulnérabilités automatisé sur tous les systèmes de production : mensuel
  • ·Test de pénétration tiers : semestriel, réalisé par des cabinets externes certifiés
  • ·Résultats complets et rapports de remédiation disponibles sur demande
  • ·Programme de bug bounty & ethical hacking (à venir)

Trust Center

Tout au même endroit

Accès direct à :

  • Rapport SOC 2 Type I
  • Politiques de sécurité
  • Liste des sous-traitants
  • Vue d'ensemble de l'architecture
  • Certificat d'assurance cybersécurité
  • FAQ Sécurité
Trust Center