Aucun PAN traversé. Chiffrement de bout en bout. Audit log signé HMAC. Hébergement UE certifié ISO 27001 / SOC 2 Type II.
Hérité de notre prestataire de paiement (PSP) PCI niveau 1. Aucun PAN ne traverse nos serveurs ni les vôtres. La saisie carte se fait dans l'iframe sécurisée du PSP.
TLS 1.3 en transit. AES-256 au repos. Clés gérées par AWS KMS / Hashicorp Vault, rotation 90 jours.
Régions Francfort et Paris. Fournisseur certifié ISO 27001 et SOC 2 Type II. Aucun transfert hors UE.
Accès interne via SSO (OIDC) + MFA (TOTP ou clé matérielle). Aucun accès partagé. Audit log de chaque session.
Toutes les décisions et requêtes API sont signées HMAC SHA-256 et conservées 12 mois minimum. Exportables SOX-ready.
Sauvegardes chiffrées toutes les 6 h, multi-AZ. RTO 4 h, RPO 1 h. Tests de bascule trimestriels.
Si vous découvrez une vulnérabilité, signalez-la à contact@neurolyss.eu. Vous recevrez un accusé sous 48 h ouvrées.
Nous appliquons une politique de divulgation responsable de 90 jours. Nous nous engageons à corriger ou à publier un avis dans ce délai, et à créditer publiquement le découvreur (sauf demande contraire).
Aucune action en justice ne sera engagée contre les chercheurs respectant cette politique et opérant en bonne foi.
Neurolyss