HAPPY UNITY

Trust Center

RETOUR AU TRUST CENTER

QUESTIONNAIRE DSI · PRÉ-REMPLI

Auditez-nous
en autonomie.

Cette page répond aux 40 questions les plus fréquentes des questionnaires sécurité standards SIG Lite (Shared Assessments) et CAIQ-Lite (Cloud Security Alliance). Si vos questions complémentaires nécessitent une preuve ou un document signé, contactez-nous avec le préfixe [DSI]dans l’objet.

OUI : 26
PARTIEL : 9
NON : 0
N/A : 1
Version 1.0 · 16 avril 2026

1. Gouvernance & politiques de sécurité

PARTIEL

GOV.01

Avez-vous une politique de sécurité de l'information formalisée ?

Oui, publiée sur /trust. Formalisation complète en cours avec l'obtention SOC 2 Type 1 prévue à horizon M+6.

Preuve : /trust

OUI

GOV.02

Cette politique est-elle revue annuellement ?

Oui, revue annuelle validée par la direction. Dernière mise à jour : 16/04/2026.

OUI

GOV.03

Avez-vous un RSSI ou responsable sécurité désigné ?

Oui, Fabien Rémon (gérant) assume la fonction de RSSI. Externalisation partielle prévue en 2026.

Preuve : fabien@happy-unity.com

PARTIEL

GOV.04

Avez-vous une certification SOC 2, ISO 27001 ou équivalent ?

Pas de certification propre à date. Nos fournisseurs cloud (Supabase, Vercel, Google) sont certifiés SOC 2 Type 2 et ISO 27001. Démarche SOC 2 Type 1 engagée pour obtention en M+6.

Preuve : /trust/sous-processeurs

PARTIEL

GOV.05

Avez-vous une cyber assurance ?

En cours de souscription (Stoik ou équivalent). Opérationnelle à M+1.

2. Protection des données & RGPD

OUI

DAT.01

Êtes-vous conforme au RGPD ?

Oui. Registre des traitements tenu à jour. DPO en cours d'externalisation (Dastra prévu M+1).

Preuve : /trust/rgpd

OUI

DAT.02

Où sont stockées les données personnelles de nos utilisateurs ?

Union européenne exclusivement : Supabase Frankfurt (EU-Central-1), Vercel edge Paris/Francfort/Dublin. Aucun transfert hors UE sans garanties appropriées (clauses contractuelles type).

OUI

DAT.03

Les données sont-elles chiffrées au repos ?

Oui. AES-256 au repos via Supabase. Les tokens OAuth Gmail sont également chiffrés (service role only).

OUI

DAT.04

Les données sont-elles chiffrées en transit ?

Oui. TLS 1.3 forcé partout. HSTS 2 ans (max-age=63072000) via Vercel.

OUI

DAT.05

Proposez-vous un Data Processing Agreement (DPA) ?

Oui. DPA basé sur les Clauses Contractuelles Type de la Commission européenne (décision 2021/914).

Preuve : Demande à fabien@happy-unity.com avec objet [RGPD]

OUI

DAT.06

Combien de temps conservez-vous les données ?

Rétention adaptée à la finalité : 3 ans CRM après fin de relation, 10 ans comptabilité (obligation légale), 13 mois logs techniques, jusqu'à révocation pour OAuth Gmail.

Preuve : /trust/rgpd

OUI

DAT.07

Les droits d'accès / effacement des personnes concernées sont-ils supportés ?

Oui, tous les droits RGPD (accès, rectification, effacement, portabilité, opposition, limitation). Délai de réponse 30 jours.

Preuve : /trust/rgpd

OUI

DAT.08

Liste des sous-processeurs accessible ?

Oui, publique sur /trust/sous-processeurs. Notification 30 jours avant tout changement.

Preuve : /trust/sous-processeurs

3. Authentification & contrôle d'accès

OUI

IAM.01

Utilisez-vous une authentification forte (MFA) ?

Authentification sans mot de passe via magic link Supabase. Les tokens sont à usage unique, scope serveur uniquement (cookies HttpOnly + Secure + SameSite).

N/A

IAM.02

Avez-vous une politique de mot de passe forte ?

Non applicable : pas de mot de passe stocké côté Happy Unity. Authentification magic link + OAuth Google uniquement.

OUI

IAM.03

Implémentez-vous le principe du moindre privilège ?

Oui. Row-Level Security (RLS) PostgreSQL activé sur toutes les tables sensibles. Clé service-role Supabase utilisée uniquement côté serveur, jamais exposée au client.

PARTIEL

IAM.04

Revoyez-vous régulièrement les accès ?

Oui, revue semestrielle manuelle. Automatisation via Vanta prévue M+3.

OUI

IAM.05

Les sessions ont-elles une expiration ?

Oui. Access token Supabase 1h, refresh token 7j. Session staff expirée = re-authentification requise.

4. Sécurité applicative & infrastructure

OUI

APP.01

Votre infrastructure est-elle hébergée dans l'UE ?

Oui. Vercel edge EU (Paris, Francfort, Dublin) + Supabase Frankfurt. Aucune infra applicative hors UE.

PARTIEL

APP.02

Effectuez-vous des tests de pénétration ?

Pas encore de pen test annuel formalisé. Inscription YesWeHack Community prévue M+2 + audit externe annuel dès M+6.

OUI

APP.03

Faites-vous de la revue de code sécurité ?

Oui. Revues de code sur le repository site-v2. Utilisation de TypeScript strict, linters, scans de dépendances via npm audit.

OUI

APP.04

Utilisez-vous des librairies à jour ?

Oui. Next.js 16 (dernière major), React 19, dépendances scannées mensuellement. Alertes Dependabot activées.

OUI

APP.05

Protection OWASP Top 10 ?

Oui. Protection CSRF via SameSite cookies, XSS via sanitization, SQL injection non pertinent (PostgreSQL parameterized queries + RLS), MFA via magic link.

PARTIEL

APP.06

Avez-vous un WAF ?

Protection DDoS native Vercel (Anti-DDoS + rate limiting edge). WAF applicatif Vercel Firewall disponible mais non activé à date (peu de trafic malveillant constaté).

OUI

APP.07

Divulgation responsable possible ?

Oui, politique publique RFC 9116.

Preuve : /trust/divulgation-responsable + /.well-known/security.txt

5. Continuité, backup & incident

OUI

BCP.01

Faites-vous des backups réguliers ?

Oui. Backups Supabase quotidiens (Point-in-Time Recovery 7 jours). Rétention 30 jours. Réplication multi-AZ EU-Central-1.

PARTIEL

BCP.02

Testez-vous la restauration ?

Test de restauration annuel planifié pour 2026. Documentation des procédures en cours.

PARTIEL

BCP.03

Avez-vous un plan de continuité d'activité (PCA) ?

Plan d'Incident Response publié sur /trust/incident-response. PCA formel en cours de rédaction (objectif M+6).

Preuve : /trust/incident-response

OUI

BCP.04

Quel est votre SLA de notification en cas d'incident ?

Notification client sous 72h maximum (conforme RGPD art. 33-34). Notification préalable dès connaissance de l'incident si impact client.

Preuve : /trust/incident-response

OUI

BCP.05

RTO / RPO ?

RPO cible : 4 heures (backups PITR). RTO cible : 24 heures (restauration + switchover).

6. Monitoring & logs

OUI

LOG.01

Conservez-vous les logs d'accès ?

Oui. Logs Vercel (toutes requêtes HTTP) + Supabase auth.audit_log_entries (logins/logouts/refreshes). Rétention 90 jours.

OUI

LOG.02

Monitoring en temps réel ?

Vercel logs live + dashboard interne /admin/security pour staff Happy Unity.

PARTIEL

LOG.03

Alertes anomalies ?

Alertes Vercel sur erreurs 5xx. Alertes custom sur failed logins en cours de développement.

7. Fournisseurs & sous-traitance

OUI

SUP.01

Liste des sous-processeurs tiers ?

Publique et exhaustive.

Preuve : /trust/sous-processeurs

OUI

SUP.02

Vos fournisseurs sont-ils certifiés ?

Oui. Supabase, Vercel, Google, Anthropic : tous SOC 2 Type 2 et/ou ISO 27001. OVH : SecNumCloud + HDS.

OUI

SUP.03

Notification en cas de changement de sous-processeur ?

Oui. Notification email 30 jours avant. Droit d'opposition prévu au DPA.

QUESTIONS COMPLÉMENTAIRES

Votre questionnaire spécifique ?

Envoyez-nous votre questionnaire propriétaire (SIG, CAIQ, ou format maison). Nous vous retournons les réponses sous 5 jours ouvrés, avec preuves et DPA signé si besoin.

fabien@happy-unity.com

Mes favoris

0 activité sélectionnée

Aucun favori pour le moment

Cliquez sur le coeur des activités
pour les ajouter ici

Mon panier

Vide

Votre panier est vide

Ajoutez une animation, un lieu ou un forfait
depuis le catalogue pour commencer.