Centre de confiance

Votre confiance, documentée.

Tout ce dont votre équipe juridique, sécurité et achats a besoin — en un seul endroit, sans formulaires.

En un coup d'œil

  • Conforme RGPD par conception — ATD inclus dans chaque forfait
  • Hébergement UE uniquement : Francfort (Supabase) + Amsterdam (TransIP)
  • AES-256 au repos, TLS 1.2+ en transit
  • AES-256-GCM pour les clés API clients (BYOK)
  • Isolation multi-tenant via Supabase Row Level Security
  • Aucun entraînement IA sur les données clients
  • Engagement de notification de violation dans les 48 heures
  • B2B uniquement — aucun traitement de données grand public

Accord de Traitement des Données (ATD)

Notre Accord de Traitement des Données conforme à l'Article 28 du RGPD est inclus dans chaque forfait et pré-accepté lors de la signature de nos Conditions. Téléchargez la version actuelle pour votre équipe juridique.

Voir l'ATDVersion 1.1 · Dernière mise à jour 23 avril 2026

Sous-traitants

SupabaseBase de données, authentification, stockage de fichiersFrancfort, DE
TransIP B.V.VPS pour le proxy LiteLLMAmsterdam, NL
Vercel, Inc.Frontend + edge computeEdge UE
LettermintE-mail transactionnelUE
Stripe Payments EuropePaiements + Stripe TaxDublin, IE

Nous informons tous les clients au moins 30 jours avant d'ajouter ou de remplacer un sous-traitant.

Liste complète avec conditions contractuelles →

Infrastructure

Hébergement de l'applicationRéseau edge UE Vercel
Base de données + auth + stockageSupabase — Francfort, Allemagne (UE)
Proxy LLM + contrôle budgétaireLiteLLM sur TransIP VPS — Amsterdam, Pays-Bas (UE)
Envoi d'e-mailsLettermint (UE)
PaiementsStripe + Stripe Tax — Dublin, Irlande (UE)
Résidence des donnéesAucune donnée client ne quitte l'EEE en aucune circonstance

Mesures de sécurité

Chiffrement au reposAES-256 (données), AES-256-GCM (clés API)
Chiffrement en transitTLS 1.2+ sur toutes les connexions
AuthentificationE-mail + MFA TOTP (obligatoire)
Contrôle d'accèsMoindre privilège, basé sur les rôles, RLS multi-tenant
SauvegardesChiffrées quotidiennement, récupération point-in-time, conservation 30 jours
SupervisionObservabilité Vercel
Analyse de vulnérabilitésDependabot, CodeQL
RTO cible4 heures
RPO cible24 heures

BYOK et fournisseurs LLM

Dans le cadre de notre modèle Bring Your Own Key, les clients maintiennent une relation directe avec chaque fournisseur LLM (OpenAI, Anthropic, Google, Mistral) via leurs propres clés API. Les fournisseurs LLM ne sont pas des sous-traitants de Custos.

Les clés API clients sont chiffrées avec AES-256-GCM et déchiffrées uniquement en mémoire au moment de l'utilisation — jamais journalisées, jamais visibles du personnel Custos.

Réponse aux incidents

Nous nous engageons à notifier les clients concernés dans un délai de 48 heures après avoir pris connaissance d'un incident de sécurité impliquant leurs données personnelles, conformément à l'Article 33 du RGPD.

Journal des incidents

Aucun incident signalé à ce jour. Cette section sera mise à jour de manière transparente lorsqu'un incident survient, selon le calendrier prévu dans notre ATD.

Les chercheurs en sécurité peuvent signaler les vulnérabilités à . Nous répondons dans les 48 heures et créditons les divulgations responsables dans notre journal des modifications.

Contact et juridique

Demandes juridiques + ATD
Demandes de confidentialité
Signalements de sécurité
EntrepriseAlpha Digital B.V. · KvK 72313129 · Stationsplein 26, 6512 AB Nijmegen, NL
Politique de confidentialitéConditions généralesATDCookiesSécurité