Certifications · Trust · Coffrify

Notre statut conformité, honnêtement. Sans embellissement.

Coffrify est jeune. Aucune des certifications ci-dessous n'est encore obtenue. Plutôt que d'afficher des logos d'audit firms qu'on n'a pas (encore) contractés, on préfère vous montrer la roadmap réelle. Quand une certif sera obtenue, cette page sera mise à jour avec le nom du cabinet + le rapport.

Mis à jour le 27 mai 2026. Roadmap visée 2026-Q3 / 2027-Q2 selon les certifs.

ISO/IEC 27001:2022

Planifié

Système de management de la sécurité de l'information. Politiques internes appliquées dès aujourd'hui, certification visée quand le volume client le justifie.

Audit visé 2027-Q1

SOC 2 Type II

Planifié

Trust Services Criteria (sécurité, disponibilité, confidentialité). Type I avant Type II, sur une fenêtre d'observation de 6 mois minimum.

Audit visé 2027-Q2

RGPD · audit annuel

Auto-évalué

Conformité auditée en interne (DPO interne) avec DPA signable client à l'appui. Audit externe RGPD planifié quand un client B2B en fera la demande contractuelle.

Auto-évaluation continue

HDS · Hébergeur de Données de Santé

Évalué N/A

Coffrify ne traite pas de données de santé (Art. L1111-8 CSP). Si vous avez besoin de transferts HDS, votre transfert via Coffrify reste possible si vous chiffrez côté client — le contenu nous est aveugle.

Non applicable

Schrems II · transferts hors UE

Auto-évalué

Le stockage objet (Scaleway) et la base PostgreSQL (Supabase) sont en UE. Quelques sous-traitants (Stripe, SendGrid, Vercel infra US) sont sous SCC. Détail dans /trust/sub-processors.

Permanent

PASSI · tests d'intrusion

Planifié

Test d'intrusion par un PASSI qualifié ANSSI, périodicité annuelle minimum. En attendant, bug bounty actif (voir /security#bug-bounty).

Pentest visé 2026-Q4