La sécurité n'est pas une option.
FinSight traite des données financières professionnelles. Nous appliquons les standards de l'industrie pour l'hébergement, le chiffrement, la gestion des accès et la conformité RGPD. Cette page documente précisément où vivent vos données et qui y accède.
Tout en Europe.
L'intégralité de l'infrastructure FinSight est hébergée dans l'Union européenne, conforme RGPD by design.
Aucune donnée client n'est traitée hors de l'UE. Les CDN qui distribuent les assets statiques publics (images, CSS, JS) peuvent répliquer ces fichiers en edge mondial pour des raisons de performance, mais ils ne contiennent jamais de donnée personnelle.
En transit et au repos.
- TLS 1.3 systématiqueToute communication entre votre navigateur, le frontend Vercel et le backend Railway est chiffrée en TLS 1.3 (HTTPS forcé, redirection HSTS, certificats Let's Encrypt renouvelés automatiquement).
- Chiffrement au reposLes données stockées dans Supabase (auth, comptes, futurs historiques d'analyses) sont chiffrées AES-256 sur disque par défaut.
- Secrets isolésLes clés API (Anthropic, Groq, yfinance, Finnhub, FMP) sont stockées exclusivement dans des variables d'environnement chiffrées côté Vercel et Railway. Elles ne sont jamais exposées dans le code source ou dans le bundle frontend.
- Aucun stockage de paiementFinSight ne stocke aucune donnée de carte bancaire. Le traitement des paiements est délégué intégralement à un prestataire PCI-DSS niveau 1 (Stripe, à activer lors du lancement payant).
Liste exhaustive et publique.
Conformément à l'article 28 du RGPD, voici la liste complète de nos sous-traitants traitant des données à caractère personnel pour le compte de FinSight.
| Sous-traitant | Rôle | Données traitées | Localisation |
|---|---|---|---|
| Vercel Inc. | Hébergement frontend | Logs techniques, IP visiteurs | UE (Frankfurt) |
| Railway Corp. | Hébergement backend | Logs techniques, requêtes API | UE (Amsterdam) |
| Supabase Inc. | Auth & base de données | Email, mot de passe haché, métadonnées compte | UE (Frankfurt) |
| Anthropic PBC | LLM (synthèse, Q&A) | Texte des prompts utilisateurs | US (cadre DPF) |
| Groq Inc. | LLM (synthèse principale) | Texte des prompts utilisateurs | US (cadre DPF) |
| Stripe (à venir) | Paiements | Email, montant, ID transaction | UE & US (cadre DPF) |
| Resend (à venir) | Emails transactionnels | Email destinataire, contenu transactionnel | UE |
Les transferts de données vers les États-Unis (Anthropic, Groq, Stripe) s'appuient sur le Data Privacy Framework (DPF), cadre de transfert reconnu adéquat par la décision de la Commission européenne du 10 juillet 2023.
En cours de structuration.
FinSight est une jeune plateforme. Nous travaillons à l'obtention progressive des certifications attendues par nos clients institutionnels.
- ISO/IEC 27001En coursDémarche initiée. Audit blanc prévu fin 2026, certification visée pour 2027.
- SOC 2 Type IIÉtudeÉvaluation en cours pour le marché US. Sans engagement de date à ce stade.
- RGPDConformeConformité by-design respectée depuis l'origine du projet (registre de traitement, sous-traitants listés, droits utilisateurs implémentés).
- DSP2 / SCAN/ANon applicable : FinSight ne réalise aucun service de paiement régulé.
Disclosure responsable.
Vous avez identifié une faille de sécurité ? Contactez-nous immédiatement à security@finsight-ia.com. Nous traitons toute remontée sous 48 heures et tenons les chercheurs informés de chaque étape de la résolution.
Aucune action en justice ne sera engagée contre les chercheurs qui respectent ce cadre : pas d'exfiltration de données réelles, pas d'atteinte à la disponibilité, signalement responsable avant divulgation publique.