Audit indépendant annuel. Pen-test trimestriel. Bug bounty permanent. Aucune zone d'ombre.
Certification active. Audit de surveillance annuel par cabinet accrédité. Périmètre : toutes les composantes de la plateforme.
Période d'observation lancée Q1 2026. Rapport attendu Q4 2026. Trust Service Criteria : Sec, Avail, Conf.
DPO interne, registre des traitements à jour, AIPD pour les modules à risque élevé. Sous-traitants documentés.
Lignes directrices EBA/GL/2019/04. Audit annuel par tiers indépendant. Modèle PSEE en place.
Roadmap structurée : gouvernance ICT, gestion incidents, tests de résilience. Échéance interne Q3 2026.
Plateforme reconnue par Bank Al-Maghrib pour la remise réglementaire. Circulaires 26/G et 8/W.
Chaque calque de la plateforme est pensé pour résister à un audit superviseur ou à un pen-test.
Tenant scope appliqué automatiquement sur chaque requête HTTP, chaque clé Redis, chaque job de queue. Tests d'isolation exécutés à chaque déploiement sur 810+ profils.
TLS 1.3 en transit, AES-256 au repos sur toutes les bases. Clés gérées dans un KMS dédié, rotation trimestrielle automatique, séparation cryptographique par tenant.
SSO SAML 2.0 / OIDC, MFA obligatoire (TOTP ou WebAuthn), RBAC fin par module. Sessions liées au device, kill-switch instantané, audit complet des connexions.
Logs append-only, hash chaîné par bloc, signature horodatée. Réplication multi-AZ. Conservation 10 ans. Toute écriture irréversible et vérifiable.
3 régions : Paris (FRA), Francfort (DEU), Casablanca (MAR — option). Multi-AZ par région. Aucun traitement hors UE/Maroc. Souveraineté garantie par contrat.
RPO 5 minutes · RTO 1 heure. Snapshots cryptographiques toutes les heures, replication transactionnelle continue, tests DR trimestriels exécutés avec rapport public.
Pen-test trimestriel par cabinet externe (rotation des prestataires). Bug bounty permanent (Yes We Hack). SAST/DAST sur chaque PR. Aucun déploiement sans scan vert.
DPO interne, RSSI dédié, comité sécurité bimensuel. Politique de sécurité documentée, formation continue de l'équipe, contrats de sous-traitance audités.
Toutes nos données restent dans l'Union Européenne ou au Maroc selon le choix client. Aucun transfert hors zone.
Disponibilité mesurée trimestriellement, pénalités automatiques en cas de manquement, rapport public.
Reglis maintient un programme de divulgation responsable. Les chercheurs en sécurité qui rapportent une vulnérabilité de bonne foi sont récompensés selon la gravité et la qualité du rapport.
0xA84F3B41:FA9C:2026:CRO:REGLIS:EU fingerprint 4F3B 4109 7C4E A23F 1CD4