All systems operational · Engine v4.2.108 · 2026-07
Reglis
Sécurité

Sécurité par construction.
Confidentialité par contrat.

Reglis manipule les données les plus sensibles d'une banque — exposition, fonds propres, contreparties. Voici les contrôles techniques, organisationnels et juridiques qui les protègent.

Posture · 2026 Q2

Certifications
& engagements réglementaires.

Audit indépendant annuel. Pen-test trimestriel. Bug bounty permanent. Aucune zone d'ombre.

ISO 27001

Annexe A · 114 contrôles

Acquis

Certification active. Audit de surveillance annuel par cabinet accrédité. Périmètre : toutes les composantes de la plateforme.

Cert. n° ISO-27001-2025-FR-08124
SOC 2 TYPE II

Sécurité · Disponibilité · Confidentialité

En cours

Période d'observation lancée Q1 2026. Rapport attendu Q4 2026. Trust Service Criteria : Sec, Avail, Conf.

Auditeur indépendant en cours de sélection
RGPD

Art. 32-34 · Sécurité des traitements

Conforme

DPO interne, registre des traitements à jour, AIPD pour les modules à risque élevé. Sous-traitants documentés.

DPO : dpo@reglis.eu
EBA-GL

ICT & Security Risk Management

Conforme

Lignes directrices EBA/GL/2019/04. Audit annuel par tiers indépendant. Modèle PSEE en place.

DORA

Reg. (UE) 2022/2554

Plan en cours

Roadmap structurée : gouvernance ICT, gestion incidents, tests de résilience. Échéance interne Q3 2026.

BAM

Reconnaissance Bank Al-Maghrib

Reconnu

Plateforme reconnue par Bank Al-Maghrib pour la remise réglementaire. Circulaires 26/G et 8/W.

Contrôles techniques

Chiffrement, isolation,
journalisation immuable.

Chaque calque de la plateforme est pensé pour résister à un audit superviseur ou à un pen-test.

01

Isolation multi-tenant

Tenant scope appliqué automatiquement sur chaque requête HTTP, chaque clé Redis, chaque job de queue. Tests d'isolation exécutés à chaque déploiement sur 810+ profils.

02

Chiffrement de bout en bout

TLS 1.3 en transit, AES-256 au repos sur toutes les bases. Clés gérées dans un KMS dédié, rotation trimestrielle automatique, séparation cryptographique par tenant.

03

Authentification & accès

SSO SAML 2.0 / OIDC, MFA obligatoire (TOTP ou WebAuthn), RBAC fin par module. Sessions liées au device, kill-switch instantané, audit complet des connexions.

04

Audit trail signé & immuable

Logs append-only, hash chaîné par bloc, signature horodatée. Réplication multi-AZ. Conservation 10 ans. Toute écriture irréversible et vérifiable.

05

Hébergement & résidence des données

3 régions : Paris (FRA), Francfort (DEU), Casablanca (MAR — option). Multi-AZ par région. Aucun traitement hors UE/Maroc. Souveraineté garantie par contrat.

06

Continuité & reprise

RPO 5 minutes · RTO 1 heure. Snapshots cryptographiques toutes les heures, replication transactionnelle continue, tests DR trimestriels exécutés avec rapport public.

07

Tests offensifs continus

Pen-test trimestriel par cabinet externe (rotation des prestataires). Bug bounty permanent (Yes We Hack). SAST/DAST sur chaque PR. Aucun déploiement sans scan vert.

08

Gouvernance & conformité

DPO interne, RSSI dédié, comité sécurité bimensuel. Politique de sécurité documentée, formation continue de l'équipe, contrats de sous-traitance audités.

Hébergement

3 régions souveraines

Toutes nos données restent dans l'Union Européenne ou au Maroc selon le choix client. Aucun transfert hors zone.

FRA · Paris
Région primaire · AZ-A / AZ-B
Actif
DEU · Francfort
Réplication DR · AZ-A / AZ-C
Actif
MAR · Casablanca
Souveraineté Maroc · AZ-A (option)
Option
SLA & disponibilité

Engagement contractuel

Disponibilité mesurée trimestriellement, pénalités automatiques en cas de manquement, rapport public.

UPTIME GARANTI
0.00%
contractuel · plan Pro
RÉALISÉ · 12M
0.00%
mai 2025 → mai 2026
RPO
5 min
RTO
1 h
Vulnerability disclosure

Vous avez trouvé une faille ?
Nous la traitons sérieusement.

Reglis maintient un programme de divulgation responsable. Les chercheurs en sécurité qui rapportent une vulnérabilité de bonne foi sont récompensés selon la gravité et la qualité du rapport.

RÉPONSE GARANTIE
Accusé de réception< 24 h
Triage initial< 72 h
Mitigation critique< 7 j
Mitigation haute< 30 j
Récompense max.jusqu'à 15 k€
CLÉ PGP
0xA84F3B41:FA9C:2026:CRO:REGLIS:EU
fingerprint 4F3B 4109 7C4E A23F 1CD4

Besoin d'un dossier de sécurité plus détaillé ?

Trust report, certificats, schémas d'architecture, tests de pénétration : disponibles sur demande après NDA.