SOC 2 Type II

Trust Services Criteria — AICPA SSAE 18

Derniere mise a jour : 28 avril 2026

1. Qu'est-ce que SOC 2 ?

SOC 2 (System and Organization Controls 2) est un cadre d'audit developpe par l'AICPA (American Institute of Certified Public Accountants). Il evalue la maniere dont une organisation gere les donnees clients selon cinq Trust Services Criteria. Une attestation SOC 2 Type II couvre une periode d'observation (en general 6 a 12 mois) et atteste que les controles ont fonctionne efficacement dans la duree, contrairement au Type I qui ne valide que la conception a un instant donne.

2. Statut de la certification ResilienceCore

En cours de preparation — ResilienceCore s'engage vers une attestation SOC 2 Type II d'ici fin 2026. La phase d'observation a debute au T2 2026 avec un cabinet d'auditeurs independants accredites.

En attendant la delivrance du rapport final, l'ensemble des controles techniques et organisationnels listes ci-dessous sont deja en place et auditables. Un rapport SOC 2 Type I (design des controles) peut etre fourni sous NDA aux clients existants ou prospects qualifies.

3. Les 5 Trust Services Criteria et leur couverture

Securite

Security

Protection contre les acces non autorises, divulgation et atteintes a l'integrite. Critere obligatoire (commun).

  • Authentification MFA (TOTP) obligatoire pour les administrateurs
  • RBAC fin par role (7 roles) et par module
  • Chiffrement TLS 1.2+ en transit, AES-256 au repos
  • Hashing argon2id pour les mots de passe, HMAC-SHA-256 pour les refresh tokens
  • Audit trail SHA-256 immuable (chain integrity verifiable)
  • Detection d'intrusion via Sentry & monitoring en temps reel

Disponibilite

Availability

Le systeme est disponible pour utilisation conformement a l'engagement.

  • SLA 99,5% (offre Starter) a 99,95% (offre Enterprise)
  • Architecture redondante : Postgres replication + Redis sentinel
  • Backups automatises (J-1, J-7, J-30) avec test de restauration mensuel
  • Plan de continuite & PRA documente, teste deux fois par an
  • Page de statut publique disponible sur /status

Integrite des traitements

Processing Integrity

Le traitement systeme est complet, valide, exact, opportun et autorise.

  • Validation Zod (front) + class-validator (back) sur toutes les entrees
  • Audit trail complet des actions C/U/D (old & new value)
  • Reconciliation et tests d'integrite automatises
  • Job queue BullMQ avec retry et dead-letter queue
  • Idempotency keys sur les operations critiques

Confidentialite

Confidentiality

Les informations designees comme confidentielles sont protegees.

  • Chiffrement de donnees sensibles cote application (CryptoService)
  • Isolation multi-tenant stricte (tenantId sur toute query)
  • Cles d'API LLM stockees chiffrees (AES-256-GCM, ENCRYPTION_KEY)
  • NDA et controle d'acces strict pour le personnel
  • Tokenisation des donnees clients dans les logs

Vie privee

Privacy

Les informations personnelles sont collectees, utilisees, conservees, divulguees et detruites conformement aux engagements.

  • RGPD natif : droit d'acces, rectification, portabilite, effacement (Art.17 par anonymisation)
  • Export tenant DORA Art.28 (.json.gz signe)
  • Conservation des logs 1 an, donnees facturation 5 ans
  • Privacy by design — pas de cookie publicitaire, pas de tracker tiers
  • Data Processing Agreement (DPA) standard disponible sur demande

4. Controles disponibles dans la plateforme

Les modules suivants permettent a vos equipes de demontrer l'efficacite des controles SOC 2 lors de vos propres audits (audits internes, certifications clients) :

  • Audit trail certifie — chaine SHA-256 immuable, verification d'integrite a la demande.
  • Compliance — checklist de controles, evidence storage, mapping multi-frameworks.
  • Risques — registre des risques, matrice heatmap, plans de traitement.
  • Actions — registre des actions correctives, kanban, suivi de cloture.
  • Politiques — gestion des politiques avec versioning, approbation, attestation.
  • Utilisateurs & habilitations — RBAC, revue d'acces, soft-delete RGPD.

5. Demande de rapport SOC 2

Pour obtenir le rapport SOC 2 (Type I disponible immediatement, Type II disponible apres la fin de la periode d'observation), merci d'adresser votre demande via /contact. Les rapports sont communiques sous accord de confidentialite (NDA) et peuvent etre accompagnes des artefacts complementaires : architecture, registre des risques, plans de continuite, attestations sous-traitants, dernieres revues de direction.

Pour les sujets connexes, voir egalement nos pages : DORA, NIS2, ISO 22301, Politique de confidentialite.

SOC 2 et Trust Services Criteria sont des marques de l'American Institute of Certified Public Accountants (AICPA). Cette page a un caractere informatif et n'engage pas ResilienceCore sur une date precise de delivrance du rapport d'attestation.