Sécurité · stonifi.co.uk
Construit sécurisé.
Audité honnêtement.
Nous ne sur-annonçons pas. Voici exactement ce qui est livré, ce qui est en audit, et ce que nous ne faisons pas encore.
Contrôles livrés
GDPR + UK DPA 2018
Demandes d'accès des personnes concernées, registres de consentement, endpoints API régionaux, facturation multi-devises par région. En production depuis avril 2026.
ZATCA Phase 2 (Wave 24)
QR codes, signature XAdES-BES, cycle CSID, clearance B2B, reporting B2C. File de conformité avec retry. 24 endpoints dédiés.
GOSI / Nitaqat / Mudad
Code du travail saoudien intégré : calcul GOSI employeur 11,75%, bandes de saoudisation Nitaqat, exports paie Mudad/WPS, fin de service.
TOTP MFA
Secrets chiffrés Fernet, codes de récupération SHA-256, jetons temporaires de 5 minutes, flow de challenge à la connexion.
Sécurité au niveau ligne (RLS)
Postgres multi-locataire avec RLS ENABLED + FORCED sur 110+ tables. 1 153 points d'application des permissions backend + frontend.
HashiCorp Vault Transit (Mail Hub)
KMS authentifié AppRole, toutes les credentials de boîtes mail chiffrées au repos. Rotation des clés par locataire.
En audit / en cours
ISO 27001
Statement of Applicability rédigé. Audit externe planifié. Objectif certification au T4 2026.
Sur la feuille de route
SOC 2 Type II
Nous ne revendiquons pas ce que nous n'avons pas mérité. La fenêtre d'audit s'ouvre une fois ISO 27001 obtenu.
HIPAA BAA
Sera disponible avec le lancement du module Healthcare (T1 2027) et la certification NPHIES.