Trust Center

Securite et confiance

Agensio est concu des le premier jour pour les exigences de securite et de conformite des PME europeennes. Donnees en Europe, audit CASA Tier 2 valide, chiffrement bout-en-bout, registre des sous-traitants public.

Conformite RGPD et UK GDPR

Agensio est conforme au Reglement General sur la Protection des Donnees (UE 2016/679) et au UK GDPR. Nous agissons en tant que sous-traitant au sens de l article 28 RGPD pour les donnees que vous traitez via nos agents. Un avenant DPA (Data Processing Agreement) est disponible sur demande a bonjour@agensio.fr, signe electroniquement par DocuSign. Le registre des sous-traitants ulterieurs (Supabase, Stripe, Resend, Anthropic, OpenAI, Twilio) est publie sur cette page et notifie 30 jours avant toute modification.

Audit CASA Tier 2 - score 9.1/10

En avril 2026, Agensio a passe l audit CASA (Cloud Application Security Assessment) Tier 2 realise par TAC Security, un evaluateur certifie par Google. Score final : 9.1 sur 10. L audit couvre 4 axes : gouvernance, gestion des incidents, securite applicative, protection des donnees. Le rapport detaille et les 4 policies sources (Incident Response, Information Security, Privacy, Vulnerability Disclosure) sont disponibles en data room sous NDA.

Hebergement et residence des donnees

Toutes les donnees clients sont hebergees en Europe, principalement chez Supabase Pro dans le datacenter de Francfort (Allemagne, AWS Frankfurt eu-central-1). Aucune donnee client ne transite ou n est stockee aux Etats-Unis. Agensio n est pas soumis au Cloud Act americain : Supabase Pro EU est une entite irlandaise, sous juridiction europeenne exclusive. Pour les grands comptes, une option cloud souverain francais (OVHcloud, Outscale, ou Scaleway) est disponible sur devis.

Chiffrement et acces

Toutes les communications utilisent TLS 1.3 (HTTPS) avec HSTS preload, ciphers modernes uniquement, certificats Let s Encrypt renouveles automatiquement. Les donnees au repos sont chiffrees AES-256 cote Supabase. Les secrets (tokens OAuth, API keys clients, mots de passe) sont chiffres au niveau application avec rotation des cles. L acces admin Agensio est protege par MFA obligatoire et journalise dans un audit log immuable.

Tests d intrusion et programme de divulgation responsable

Agensio realise un test d intrusion externe annuel par un prestataire CESTI. Le dernier test a eu lieu en avril 2026 sans vulnerabilite critique decouverte. Notre fichier /.well-known/security.txt expose le contact securite (security@agensio.fr) et la politique de divulgation responsable. Les chercheurs en securite peuvent nous signaler une faille en toute confidentialite ; les vulnerabilites confirmees donnent lieu a un remerciement public (hall of fame).

Sauvegardes et continuite

Sauvegardes Postgres point-in-time recovery (PITR) sur 7 jours minimum, snapshots quotidiens conserves 30 jours, replication multi-AZ. RPO cible : 5 minutes. RTO cible : 4 heures pour incidents majeurs. Le plan de reprise d activite (PRA) est documente dans docs/security/DEPLOYMENT_RUNBOOK.md et teste tous les 6 mois.

Sous-traitants ulterieurs

Liste publique a jour : Supabase Inc. (Irlande, hebergement base de donnees), Vercel Inc. (Etats-Unis, hebergement frontend - donnees techniques uniquement, pas de PII), Stripe Payments Europe Ltd. (Irlande, paiement), Resend Inc. (Etats-Unis, envoi d emails transactionnels), Anthropic PBC et OpenAI Inc. (Etats-Unis, traitement LLM), Twilio Ireland Ltd. (Irlande, SMS et voix), Sentry (Allemagne, monitoring). Toute donnee personnelle envoyee aux providers LLM (Anthropic, OpenAI) suit des accords ZDR (Zero Data Retention) : pas d entrainement, pas de retention au-dela de 30 jours.

Contact securite

Pour signaler une vulnerabilite, demander un DPA, ou poser une question conformite :

  • security@agensio.fr , vulnerabilites, audits
  • Delegue a la protection des donnees (DPO) : bonjour@agensio.fr

Page mise a jour le 27 mai 2026.