1. Principes
La sécurité est un enjeu central pour Core KYC. Nos clients nous confient des données sensibles de conformité : identification des relations d'affaires, justificatifs KYC, résultats de screening, évaluations de risque. Nous mettons en œuvre un socle de mesures techniques et organisationnelles destinées à garantir la confidentialité, l'intégrité et la disponibilité de ces données.
Cette page décrit, en toute transparence, les mesures en place à ce jour ainsi que celles en cours de déploiement et celles figurant à notre feuille de route. Elle est mise à jour à mesure de notre progression.
2. Hébergement et infrastructure
La plateforme Core KYC est hébergée au sein de l'Union européenne par OVHcloud (datacenters en France). Le site public www.corekyc.io, de nature statique et ne contenant aucune donnée client, est servi par Vercel.
L'infrastructure applicative repose sur :
- des environnements logiquement séparés (production, recette, démonstration) ;
- une base de données managée avec sauvegardes automatisées ;
- un stockage objet pour les documents, avec contrôle d'accès granulaire.
3. Chiffrement
- En transit : toutes les communications entre vos navigateurs et la plateforme sont chiffrées via TLS (versions modernes uniquement).
- Au repos : les données de la base et les documents stockés sont chiffrés au repos dans l'infrastructure OVHcloud.
4. Contrôle d'accès et authentification
- Authentification des utilisateurs clients : comptes nominatifs, politique de mot de passe robuste, verrouillage après échecs répétés.
- Rôles et permissions (RBAC) : attribution granulaire des droits au sein de la plateforme (administration, revue, lecture seule, etc.) selon les besoins de chaque utilisateur.
- Accès internes : les accès des équipes Core KYC aux environnements clients sont strictement limités au personnel habilité et au juste besoin, tracés dans les journaux applicatifs.
5. Traçabilité
Chaque action significative réalisée dans la plateforme (création, modification, validation, export, accès document) est journalisée avec horodatage et identifiant utilisateur. Ces journaux sont conservés conformément aux obligations applicables et mis à disposition du client via les interfaces de la plateforme.
6. Sauvegardes et continuité
- Sauvegardes : quotidiennes, conservées 30 jours.
- Objectifs de reprise : objectifs indicatifs RTO 4 heures, RPO 1 heure, définis contractuellement dans le SLA applicable au client.
- Redondance : l'infrastructure OVHcloud permet la redondance des composants critiques.
7. Mesures organisationnelles
- Gestion des accès : procédures d'entrée et de sortie pour les collaborateurs et sous-traitants ayant accès aux environnements.
- Confidentialité : engagement de confidentialité formalisé pour toute personne accédant aux données clients.
- Sélection et supervision des sous-traitants : critères définis, encadrement contractuel avec clauses de sécurité et de confidentialité, revue périodique. Le détail figure dans notre politique sous-traitants, disponible sur demande.
- Sensibilisation : équipes informées des risques de sécurité et de protection des données, règles d'hygiène numérique appliquées.
8. Conformité
- RGPD : un accord de traitement de données (DPA) conforme à l'article 28 du RGPD est signé avec chaque client. Il détaille les finalités, durées, mesures de sécurité et liste des sous-traitants ultérieurs.
- Hébergement UE : les données sont hébergées en France. Tout transfert éventuel vers un pays tiers est encadré par les mécanismes prévus par le RGPD.
- Notification de violation : en cas d'incident de sécurité impactant des données personnelles, nous notifions le client dans les meilleurs délais et coopérons à l'analyse et à la notification aux autorités compétentes, conformément à l'article 33 du RGPD.
9. En développement
Nous construisons Core KYC dans une logique d'amélioration continue. Les chantiers suivants sont en cours ou prévus :
En cours
- Tests d'intrusion réalisés par un tiers indépendant, avec une cadence annuelle cible.
- Supervision 24/7 de la production et alerting automatisé.
- Page de statut publique (uptime, incidents).
- Authentification multifacteur et intégration SSO (SAML/OIDC).
Feuille de route
- Désignation formelle d'un délégué à la protection des données (DPO).
- Certifications externes (ISO 27001, SOC 2) envisagées selon la croissance et les exigences de nos clients.
- Programme de divulgation responsable pour les chercheurs en sécurité.
Nous préférons décrire ce qui est réellement en place plutôt que d'énumérer des intentions. Cette page est mise à jour à chaque jalon atteint.
10. Signaler un problème de sécurité
Si vous pensez avoir identifié une vulnérabilité ou un comportement anormal, merci de nous contacter à contact@corekyc.io avec autant de détails que possible. Nous traitons ces signalements avec priorité et confidentialité.
1. Principles
Security is central to Core KYC. Our clients entrust us with sensitive compliance data: identification of business relationships, KYC supporting documents, screening results, risk assessments. We implement a baseline of technical and organizational measures intended to ensure the confidentiality, integrity and availability of this data.
This page transparently describes the measures in place today, those currently being deployed, and those on our roadmap. It is updated as we progress.
2. Hosting and infrastructure
The Core KYC platform is hosted within the European Union by OVHcloud (datacenters in France). The public website www.corekyc.io, which is static and contains no client data, is served by Vercel.
The application infrastructure is based on:
- logically separated environments (production, staging, demonstration);
- a managed database with automated backups;
- object storage for documents, with granular access control.
3. Encryption
- In transit: all communications between your browsers and the platform are encrypted via TLS (modern versions only).
- At rest: database data and stored documents are encrypted at rest within the OVHcloud infrastructure.
4. Access control and authentication
- Client user authentication: named accounts, strong password policy, lockout after repeated failures.
- Roles and permissions (RBAC): granular assignment of rights within the platform (administration, review, read-only, etc.) according to each user's needs.
- Internal access: Core KYC team access to client environments is strictly limited to authorized personnel on a need-to-know basis, traced in application logs.
5. Traceability
Every significant action performed on the platform (creation, modification, validation, export, document access) is logged with timestamp and user identifier. These logs are retained in accordance with applicable obligations and made available to the client through the platform interfaces.
6. Backups and continuity
- Backups: daily, retained for 30 days.
- Recovery objectives: target indicative RTO 4 hours, RPO 1 hour, contractually defined in the client-applicable SLA.
- Redundancy: the OVHcloud infrastructure enables redundancy of critical components.
7. Organizational measures
- Access management: onboarding and offboarding procedures for employees and subcontractors with environment access.
- Confidentiality: formal confidentiality commitment for anyone accessing client data.
- Processor selection and oversight: defined criteria, contractual framework with security and confidentiality clauses, periodic review. Details are set out in our processor policy, available upon request.
- Awareness: teams informed of security and data protection risks, digital hygiene rules applied.
8. Compliance
- GDPR: a Data Processing Agreement (DPA) compliant with article 28 of the GDPR is signed with each client. It specifies purposes, durations, security measures and list of sub-processors.
- EU hosting: data is hosted in France. Any transfer to a third country is governed by the mechanisms provided for by the GDPR.
- Breach notification: in the event of a security incident impacting personal data, we notify the client as soon as possible and cooperate in the analysis and notification to the competent authorities, in accordance with article 33 of the GDPR.
9. In development
We build Core KYC with a continuous improvement mindset. The following initiatives are in progress or planned:
In progress
- Penetration testing performed by an independent third party, with a target annual cadence.
- 24/7 production monitoring and automated alerting.
- Public status page (uptime, incidents).
- Multi-factor authentication and SSO integration (SAML/OIDC).
Roadmap
- Formal designation of a Data Protection Officer (DPO).
- External certifications (ISO 27001, SOC 2) considered depending on growth and client requirements.
- Responsible disclosure program for security researchers.
We prefer to describe what is actually in place rather than list intentions. This page is updated at each milestone reached.
10. Reporting a security issue
If you believe you have identified a vulnerability or abnormal behavior, please contact us at contact@corekyc.io with as much detail as possible. We handle these reports with priority and confidentiality.