Sécurité

Hébergé en France, conçu pour le B2B exigeant.

Q: Remastr a-t-il une certification ISO 27001 ou SOC 2 ?

Non, pas à date. Ces certifications sont une démarche pluriannuelle que nous envisageons quand le volume et la maturité du produit les justifieront. Nous nous appuyons aujourd'hui sur les bonnes pratiques sectorielles et sur la conformité RGPD native.

Q: Nos données sont-elles séparées de celles des autres clients ?

Oui. Remastr est conçu en multi-tenant logique : chaque client (reconditionneur) dispose d'un workspace identifié, et tout accès aux données est filtré au niveau applicatif par cet identifiant. Aucun utilisateur ne peut interroger les données d'un autre workspace.

Q: Quelle est la fréquence des sauvegardes et la durée de rétention ?

Sauvegardes quotidiennes automatiques, conservation sur 30 jours roulants. En cas d'incident, nous pouvons restaurer votre environnement à l'état de n'importe quel jour des 30 derniers. Les backups sont chiffrés au repos et ne quittent pas le territoire français.

Q: Que se passe-t-il à la fin du contrat en matière de données ?

À votre demande, nous vous livrons un export complet de vos données (format CSV et/ou JSON) dans un délai contractuel de 30 jours. Après cette livraison, l'ensemble des données est supprimé de nos systèmes de production et effacé des sauvegardes dans le cycle de rétention normal (au plus tard 30 jours).

Q: Signez-vous un DPA (Data Processing Agreement) ?

Oui, un DPA conforme RGPD est disponible à la signature pour tout client. Il précise les catégories de données traitées, les finalités, les sous-traitants éventuels, les mesures de sécurité et les conditions de restitution / suppression.

Q: Comment signaler un incident de sécurité ?

Pour une vulnérabilité ou un incident, écrivez à security@remastr.io. Nous accusons réception sous 24 heures et traitons en priorité. Les chercheurs en sécurité sont bienvenus ; nous suivons une approche coordinated disclosure.

Où sont vos données, comment elles sont protégées, ce qui est sauvegardé — les réponses claires à ce que votre DSI demandera avant la signature.

Mis à jour le 19 avril 20266 min de lecture

À retenir

Hébergement 100 % France

Données stockées et traitées sur des serveurs situés sur le territoire français.

Chiffrement de bout en bout

TLS 1.2+ en transit, chiffrement disque au repos côté hébergeur.

Isolation par tenant

Chaque reconditionneur dispose de son workspace logiquement isolé des autres.

Sauvegardes quotidiennes

Backups automatiques chiffrés, conservation roulante, restauration possible sous 24h.

1. Où sont vos données

Toutes les données que vos équipes saisissent dans Remastr sont stockées et traitées sur des serveurs situés en France, opérés par un hébergeur français. Aucun flux applicatif ni aucune sauvegarde ne quitte le territoire national dans le cadre de l'exploitation nominale.

Ce choix est délibéré : il simplifie la conformité RGPD, évite les débats sur les transferts internationaux de données, et répond aux exigences des donneurs d'ordre publics et des grands comptes français qui l'imposent dans leurs appels d'offres.

2. Chiffrement en transit et au repos

En transit : toutes les communications entre votre navigateur (ou votre mobile) et Remastr passent en HTTPS TLS 1.2+, avec redirection automatique depuis HTTP. Aucun contenu applicatif n'est échangé en clair.

Au repos : les disques de production et les sauvegardes sont chiffrés au niveau infrastructure par l'hébergeur. Les mots de passe utilisateurs sont stockés sous forme de hash via un algorithme adapté (Argon2id), jamais en clair.

3. Isolation multi-tenant

Remastr est conçu en multi-tenant logique : chaque reconditionneur client dispose d'un workspace identifié. Toutes les requêtes applicatives sont automatiquement filtrées sur l'identifiant de workspace de l'utilisateur connecté.

Concrètement, il est impossible pour un utilisateur d'un workspace A d'accéder, même par accident, aux données d'un workspace B : le filtrage est imposé au niveau de la couche ORM, pas au niveau applicatif, ce qui élimine toute la classe de bugs "oubli de filtrer une query".

4. Sauvegardes & continuité

Fréquence : sauvegardes automatiques quotidiennes de la base de données et des fichiers uploadés.
Rétention : 30 jours roulants — toute version du jour J est restaurable jusqu'à J+30.
Sécurité : les backups sont chiffrés au repos et stockés dans une zone distincte du système de production, en France.
Restauration : délai d'engagement contractuel sous 24 heures ouvrées en cas d'incident majeur.
Tests : les restaurations sont testées régulièrement pour vérifier l'intégrité des sauvegardes.

5. Accès & authentification

Authentification : login par email + mot de passe hashé (Argon2id), avec politique de mot de passe forte.
Sessions : cookies signés, httpOnly, secure, SameSite=Lax ; expiration automatique après inactivité prolongée.
Rôles : chaque utilisateur est rattaché à un rôle avec des permissions granulaires (admin, technicien, lecteur, invité portail…).
Journalisation : les événements sensibles (connexion, modification d'une cotation, export, suppression) sont consignés en journal pour audit.
Accès administrateurs Remastr : l'équipe Krafter n'a accès aux workspaces clients que pour les besoins de support, sur demande explicite ou en cas d'incident — et chaque accès est tracé.

6. Conformité RGPD

Remastr est conçu pour permettre à ses clients reconditionneurs de respecter le RGPD dans leur propre activité — centralisation des certificats d'effacement, preuves auditables, traçabilité unitaire. Mais Remastr, en tant qu'éditeur et sous-traitant au sens RGPD, est aussi lui-même conforme :

DPA fourni à la signature, mentionnant les sous-traitants éventuels, les finalités et les mesures de sécurité.
Principe de minimisation : seules les données nécessaires à l'exploitation sont collectées.
Droits des personnes : vos utilisateurs peuvent exercer leurs droits d'accès, rectification et effacement via votre administrateur.
Restitution : export complet des données en fin de contrat (CSV/JSON), suppression dans les 30 jours.
Délégué à la protection des données : contact via dpo@remastr.io.

Pour aller plus loin sur le volet réglementaire : notre page sur le RGPD et l'effacement des données.

7. Certifications & roadmap

À date, Remastr ne revendique aucune certification formelle de type ISO 27001 ou SOC 2. Nous préférons être honnêtes : ces démarches sont pluriannuelles, coûteuses, et n'ont de sens qu'une fois le produit suffisamment mature pour les justifier.

En attendant, notre posture s'appuie sur :

Les bonnes pratiques sectorielles (OWASP Top 10, ANSSI, CNIL).
La conformité RGPD native avec DPA contractualisé.
La localisation France qui simplifie la plupart des questionnaires sécurité clients.
Des revues de code systématiques et des dépendances maintenues à jour.

Sur notre roadmap à moyen terme : audit de sécurité externe annuel (pentest), puis engagement progressif vers une certification ISO 27001 à mesure que notre base clients le justifie.

8. Signaler un incident ou une vulnérabilité

Pour toute alerte de sécurité, vulnérabilité ou comportement suspect, contactez directement security@remastr.io. Nous accusons réception sous 24 heures ouvrées et priorisons immédiatement.

Les chercheurs en sécurité sont les bienvenus. Nous suivons une approche de coordinated disclosure : vous nous signalez la faille, nous corrigeons dans un délai raisonnable, puis la publication se fait de concert.

9. Questions fréquentes

Où sont précisément stockées nos données ?

Sur des serveurs situés en France, opérés par un hébergeur français. Aucun transfert vers des pays hors UE n'est réalisé dans le cadre de l'exploitation nominale de Remastr. L'identité précise de l'hébergeur et les datacenters utilisés sont communiqués dans le DPA (Data Processing Agreement) disponible sur demande.

Remastr a-t-il une certification ISO 27001 ou SOC 2 ?

Nos données sont-elles séparées de celles des autres clients ?

Quelle est la fréquence des sauvegardes et la durée de rétention ?

Que se passe-t-il à la fin du contrat en matière de données ?

Signez-vous un DPA (Data Processing Agreement) ?

Comment signaler un incident de sécurité ?