La sécurité n'est jamais derrière un paywall.
Chiffrement E2E zero-knowledge dès l'offre gratuite. Hébergement souverain en France. Aucun entraînement d'IA sur vos données. Et la liste publique de tous nos partenaires.
Les fondamentaux
Chiffrement AES-256 + E2E v1
Au choix par transfert : AES-256-GCM côté serveur (clés gérées par nous, recovery possible) ou E2E v1 zero-knowledge (clé jamais transmise, déchiffrement uniquement côté client).
Hébergement souverain UE
Vos fichiers sont stockés chez Scaleway Paris(fr-par), hors juridiction extra-européenne. Aucun fichier n'est jamais répliqué hors UE.
Zero AI Training
Engagement contractuel perpétuel: ni vos fichiers, ni vos métadonnées, ni vos emails de support ne sont utilisés pour entraîner un modèle d'IA. Engagement complet →
Sous-traitants publics
Liste publique et à jour de tous nos partenaires techniques (Scaleway, Supabase, Stripe, etc.), avec leurs catégories de données et leur localisation. Liste publique →
Détails techniques
Chiffrement en transit & au repos
- TLS 1.3 sur tous les endpoints. HSTS preload activé.
- AES-256-GCM pour le stockage server-side (clé maître chiffrée KMS).
- E2E v1 : ChaCha20-Poly1305, dérivation Argon2id, chunking 4 Mo.
- Le serveur ne voit jamais les clés E2E. La récupération des fichiers nécessite la clé partagée par lien.
Authentification & contrôle d'accès
- Mots de passe hachés bcrypt (cost 12).
- MFA TOTP disponible pour tous les plans.
- RBAC granulaire par workspace (rôles Owner, Member, Auditor, Viewer).
- API tokens scopés (lecture seule, écriture, admin) avec expiration et révocation.
Infrastructure & disponibilité
- Stockage objet Scaleway Multi-AZ (3 zones de disponibilité, durabilité 99,99999999%).
- Base PostgreSQL Supabase avec PITR (point-in-time recovery) 30 jours.
- Frontend & API Vercel région CDG (Paris).
- Monitoring uptime BetterStack 24/7 avec alerting on-call.
- Disponibilité cible : 99,9% Pro · 99,95% Ultra. Page status publique : status.coffrify.com.
Logs, audit & rétention
- Audit log par workspace consultable depuis le dashboard (CSV / NDJSON).
- Logs techniques conservés 90 jours pour la sécurité, puis purgés.
- Backups chiffrés 30 jours rétention puis purge automatique.
Roadmap conformité
Coffrify investit progressivement dans les certifications attendues par les clients Entreprise. Voici notre roadmap publique, mise à jour trimestriellement.
RGPD compliant
DPO désigné, registre des traitements, DPA Art. 28 signable, liste publique des sous-traitants, droits des personnes opérationnels (accès, effacement, portabilité).
HTTPS / TLS 1.3 / HSTS preload
Tous les sous-domaines coffrify.com forcent TLS 1.3 et sont inscrits au préloading HSTS.
Pentest annuel (cible Q4 2026)
Audit de sécurité par cabinet tiers indépendant (Synacktiv, HackerOne, ou équivalent FR/EU). Rapport résumé publié.
SOC 2 Type II
cible Q1 2028Audit organisationnel sur 12 mois via Vanta ou Drata. Démarrage prévu Q2 2027. Couverture : sécurité, disponibilité, confidentialité.
HDS — Hébergement de Données de Santé
cible Q3 2027Certification ANSSI pour les clients secteur santé/médical. Demande sous-traitance Scaleway HDS (Scaleway est déjà certifié HDS sur certaines offres).
ISO 27001:2022
cible Q1 2028Système de management de la sécurité de l'information. Audit par AFNOR ou BSI. Vise les grands comptes B2B internationaux.
Signaler une vulnérabilité
Vous avez trouvé une faille ? Écrivez-nous directement, hors github issue publique :
Engagement de réponse sous 48h. Pas de programme bug bounty monétaire pour l'instant (en réflexion pour Q4 2026), mais reconnaissance publique sur cette page si vous le souhaitez et corrections rapides.