Vérifié indépendamment. Structurellement solide.

Une sécurité que vous pouvez auditer, pas seulement à laquelle vous pouvez faire confiance.

Chaque cadre auquel nous adhérons, chaque certification que nous détenons, chaque vérification que nous effectuons : chacun reflète une décision structurelle délibérée et fait partie des fondations sur lesquelles chaque client, partenaire et évaluateur s'appuie. Nous sommes transparents quant à nos certifications, nos alignements et l'importance de ces distinctions.

Ce que nous détenons, et ce que cela signifie

Trois niveaux d'assurance – une vision claire

Tous les cadres de référence ne fonctionnent pas de la même manière, et nous ne les traitons pas comme s'ils le faisaient. Pour certains, nous sommes formellement certifiés : audités de manière indépendante, avec un périmètre défini et renouvelés selon un cycle structuré. D'autres sont des alignements, ce qui signifie que notre architecture, nos processus et nos contrôles sont conçus pour répondre à leurs exigences. Et certains sont des vérifications par des tiers qui confirment des engagements spécifiques que nous avons pris. Ci-dessous, nous détaillons ce qui correspond à quoi.

Audité. Renouvelé. Officiel.

Certification ISO/IEC 27001:2022

ISO/IEC 27001:2022 est la norme internationale pour les systèmes de management de la sécurité de l'information (SMSI). Obtenir cette certification signifie que nos contrôles de sécurité, nos processus de gestion des risques et nos pratiques opérationnelles ont été audités de manière indépendante et jugés conformes aux exigences de la norme – et que nous maintenons et renouvelons ce statut par des audits de surveillance réguliers. Pour les clients, cela signifie que la posture de sécurité que nous décrivons n'est pas auto-évaluée : elle a été examinée par un organisme externe et confirmée par rapport à une référence définie et internationalement reconnue.

Protection des données européennes, par conception.

Alignement RGPD

Le Règlement général sur la protection des données (RGPD) établit les règles concernant la collecte, le stockage, le traitement et le transfert des données personnelles au sein de l'UE et de l'EEE. Notre plateforme est conçue en tenant compte des exigences du RGPD : couvrant la minimisation des données, la limitation des finalités, les droits d'accès et d'effacement, et des limites claires de traitement. Pour les clients soumis aux obligations du RGPD, cela signifie que SecureSafe est conçu pour soutenir votre démarche de conformité, et non pour la compliquer. Cependant, l'alignement au niveau de la plateforme ne rend pas à lui seul une organisation cliente conforme au RGPD, car la conformité dépend également de la manière dont la plateforme est configurée et utilisée dans le cadre de vos propres processus.

Protection des données suisses, nativement intégrée.

Alignement LPD

La Loi fédérale sur la protection des données (LPD) suisse régit la manière dont les données personnelles sont traitées en Suisse, avec des exigences qui sont très similaires – et dans certains domaines supérieures – à celles du RGPD. En tant qu'entreprise basée en Suisse, l'alignement avec la LPD n'est pas une adaptation a posteriori : il reflète la manière dont nos pratiques de traitement, de stockage et de gestion des données ont été structurées dès le départ. Pour les clients basés en Suisse ou échangeant des données sous juridiction suisse, cela offre une base claire et juridiquement solide. Comme pour tout cadre juridique, cela soutient les efforts de conformité des clients, mais ne garantit pas à lui seul la conformité dans chaque cas d'utilisation.

Résilience opérationnelle pour les environnements réglementés.

Alignement DORA

Le règlement sur la résilience opérationnelle numérique (DORA) établit des exigences en matière de gestion des risques liés aux TIC, de déclaration des incidents et de surveillance des tiers au sein du secteur financier de l'UE. Notre architecture et nos pratiques opérationnelles sont alignées sur les exigences de DORA, ce qui est pertinent pour les institutions financières et leurs partenaires technologiques opérant dans son champ d'application. Pour les clients évoluant dans des environnements financiers réglementés, SecureSafe est conçu pour fonctionner comme un composant de soutien à la résilience, et non comme une charge de conformité.

Élever le niveau de référence et l'atteindre.

Alignement NIS2

La directive NIS2 renforce les exigences en matière de cybersécurité dans les secteurs critiques et importants de l'UE, y compris les exigences relatives à la gestion des risques, à la sécurité de la chaîne d'approvisionnement et à la réponse aux incidents. Nos contrôles de sécurité, notre gestion des accès et nos pratiques opérationnelles sont alignés sur le cadre de NIS2. Pour les organisations relevant du champ d'application de NIS2, ou celles qui évaluent leur exposition à la chaîne d'approvisionnement, SecureSafe est structuré de manière à réduire, et non à augmenter, cette surface de risque.

Conçu pour répondre aux exigences de la finance suisse.

Alignement FINMA

La FINMA, l'Autorité fédérale de surveillance des marchés financiers, définit les attentes en matière de surveillance concernant la gouvernance des données, l'externalisation et la sécurité opérationnelle pour les institutions financières supervisées. Notre plateforme et notre modèle opérationnel sont conçus pour répondre aux attentes clés pertinentes pour l'utilisation de SecureSafe dans des environnements réglementés, y compris le contrôle d'accès, l'auditabilité et la diligence raisonnable liée à l'externalisation. Pour les institutions financières suisses et leurs partenaires, cela contribue à positionner SecureSafe comme une plateforme capable de soutenir les opérations au sein de votre cadre réglementaire.

Développé en Suisse. Vérifié comme tel.

Logiciel Swiss Made

Le label Swiss Made Software est attribué aux produits logiciels qui répondent à des critères définis en matière de développement, de maintenance et d'activités de support en Suisse. Porter ce label signifie que notre logiciel a été examiné et vérifié de manière indépendante par rapport à ces critères – il ne s'agit pas d'une auto-déclaration. Pour les clients pour qui la provenance, la responsabilité locale et les normes de qualité suisses sont importantes, cette vérification constitue une base définie et vérifiable pour cette confiance.

Nos engagements environnementaux, suivis de manière indépendante.

Vérification myclimate

myclimate est une organisation suisse de protection du climat de premier plan. Nous utilisons le logiciel de reporting de myclimate pour suivre notre empreinte carbone et mettre en œuvre des mesures de réduction ciblées – et nous allons plus loin en versant une contribution climatique pour soutenir des projets de durabilité vérifiés. Pour les clients qui intègrent la responsabilité environnementale dans leurs décisions d'approvisionnement, cela signifie que nos engagements en matière de durabilité sont activement mesurés, rapportés et étayés par des actions concrètes.

FAQ

Trouvez ici les réponses à vos questions les plus importantes.

Quelle est la différence entre « certifié », « aligné » et « vérifié » ?

Ces termes ne sont pas interchangeables, et nous les utilisons de manière délibérée. « Certifié » signifie que nous avons été audités de manière indépendante par rapport à une norme définie et que nous avons obtenu une certification formelle. « Aligné » signifie que notre plateforme est conçue pour soutenir les exigences d'un cadre donné, sans que cela implique une certification formelle. « Vérifié » signifie qu'une affirmation ou un contrôle a été contrôlé ou validé par une source ou un processus pertinent.

Que couvre concrètement la certification ISO/IEC 27001:2022 ?

La certification ISO/IEC 27001:2022 couvre notre système de management de la sécurité de l'information (SMSI) : les politiques, processus, contrôles et pratiques organisationnelles que nous utilisons pour gérer les risques liés à la sécurité de l'information. Elle ne certifie pas une fonctionnalité isolée ; elle évalue la manière dont la sécurité est gouvernée, maintenue et améliorée dans l'ensemble de l'organisation.

Comment la certification ISO/IEC 27001:2022 est-elle maintenue ?

La certification ISO 27001 n'est pas une étape ponctuelle. Elle exige des audits de surveillance réguliers, généralement annuels, ainsi qu'un audit complet de recertification tous les trois ans. Pour nous, cela signifie que notre système de management de la sécurité de l'information doit rester actif, documenté et continuellement amélioré.

L'alignement de SecureSafe sur le RGPD signifie-t-il que mon organisation est automatiquement conforme au RGPD ?

Non, et il est important d'être clair sur ce point. L'alignement de SecureSafe sur le RGPD signifie que notre plateforme est conçue pour soutenir vos obligations de conformité en tant que responsable du traitement ou sous-traitant. Il ne remplace pas vos propres politiques, bases juridiques, registres de traitement ou processus internes.

Que signifie l'alignement sur la LPD pour les clients suisses en particulier ?

La loi fédérale suisse sur la protection des données (LPD) définit les exigences relatives au traitement des données personnelles en Suisse. Notre alignement sur la LPD signifie que SecureSafe est conçu pour soutenir les organisations suisses qui doivent protéger les données personnelles, documenter les accès et maintenir des contrôles appropriés sur les informations sensibles.

Qu'est-ce que le label Swiss Made Software, et pourquoi est-il important ?

Swiss Made Software est un label vérifié de manière indépendante, attribué aux produits logiciels qui répondent à des critères définis en matière de développement, de maintenance et de support depuis la Suisse. Pour les clients, il constitue un signal supplémentaire sur l'origine, la gouvernance et l'ancrage opérationnel du produit.

En quoi consiste le partenariat avec myclimate ?

Nous utilisons le logiciel de reporting de myclimate pour mesurer et suivre notre empreinte carbone, et nous versons une contribution climatique destinée à soutenir des projets de durabilité vérifiés. Ce partenariat fait partie de notre approche structurée visant à mesurer, réduire et assumer la responsabilité de notre impact environnemental.

Où puis-je accéder à la documentation de certification à des fins de due diligence ?

Si vous menez un processus d'achat ou une due diligence interne et que vous avez besoin d'une documentation formelle, notamment notre certificat ISO/IEC 27001:2022, nos déclarations d'alignement ou des documents de sécurité complémentaires, notre équipe peut vous fournir les éléments appropriés dans le cadre du processus d'évaluation.

Nous opérons dans le secteur financier de l'UE. En quoi l'alignement sur DORA nous concerne-t-il ?

DORA impose des exigences spécifiques aux entités financières et à leurs prestataires de services TIC en matière de résilience opérationnelle, de gestion des risques et de signalement des incidents. SecureSafe est conçu pour soutenir les contrôles pertinents, notamment l'hébergement sécurisé, la gestion des accès, la journalisation et la documentation des processus.

Que signifie concrètement l'alignement sur NIS2 ?

NIS2 relève le niveau minimal de cybersécurité pour les organisations des secteurs critiques et importants dans l'UE, et étend les obligations aux partenaires de la chaîne d'approvisionnement. Notre alignement vise à soutenir des pratiques telles que le contrôle des accès, la gestion des risques, la traçabilité et la résilience opérationnelle.

Nous sommes une institution supervisée par la FINMA. Que couvre l'alignement de SecureSafe sur la FINMA ?

Notre plateforme est conçue pour soutenir les domaines les plus pertinents pour les institutions supervisées par la FINMA, notamment le contrôle des accès, l'auditabilité et la gouvernance liée à l'externalisation. SecureSafe ne remplace pas votre cadre de conformité interne, mais peut fournir une infrastructure sécurisée et documentable pour les données et flux sensibles.

L'alignement sur ces cadres couvre-t-il toutes les versions et juridictions ?

L'alignement est toujours spécifique au cadre et au périmètre. Par exemple, le RGPD s'applique dans l'UE et l'EEE, la LPD s'applique en Suisse, tandis que DORA et NIS2 ont des champs d'application sectoriels et géographiques définis. Les exigences exactes doivent toujours être évaluées dans votre contexte juridique et opérationnel.