Aller au contenu

ENTERPRISE TRUST

Due diligence prête avant la première démo.

Ce dont un CISO, un DPO ou un IT counsel a besoin en 60 secondes. Sans questionnaire fournisseur en aller-retour. Sans NDA sur les basiques.

À qui s'adresse cette page

Si vous êtes la contrepartie technique ou juridique du cabinet qui évalue Nexus, cette page est la source unique de vérité. Les points ci-dessous suffisent pour lancer la revue de sécurité ; les contrats sous-jacents (DPA, SLA, security review sur mesure pour Enterprise) sont remis à la signature.

TRUST SIGNALS

01

Chiffrement AES-GCM-256 au repos

Les lignes de sortie dans analysis_outputs sont chiffrées en AES-256-GCM avec isolation des clés par organisation. Les clés ne quittent jamais la couche applicative.

02

Zero Retention par conception

Les documents du client ne sont jamais persistés sur disque ou en base. Chaque analyse s'exécute en RAM et est détruite à la fin de session. Aucune fonction "supprimer les données client" n'existe car il n'y a pas de données client à supprimer.

03

PII Gatekeeper

Noms, identifiants (NIF/IBAN), adresses et e-mails sont remplacés par des tokens opaques avant tout appel LLM externe. Le modèle audite la structure en aveugle ; l'identité réelle ne franchit jamais la frontière.

04

DPIA publique (WP248 / RGPD Art. 35)

Analyse d'impact sur la protection des données publiée en dix sections. Examinable par votre DPO avant même de demander une démo.

Ouvrir la DPIA →
05

Représentant UE (RGPD Art. 27)

Ricardo González Álvaro, Calle Zorzaleño 15, La Raya del Palancar, Madrid, Espagne — quantumnexusventures@proton.me. Publié sur /privacy dans toutes les langues et enregistré dans la DPIA.

Voir sur /privacy →
06

Bar Association credentials

Chaque utilisateur déclare son barreau et son numéro (ICAB, CGAE, NY Bar, Law Society England & Wales, OAB, etc.) dans les paramètres. Horodaté dans le journal de consentements. Vérification API avec les principaux barreaux dans la roadmap.

07

Intégrité cryptographique de session

Chaque analyse achevée est scellée par un hash SHA-256 de la sortie finale, un horodatage ISO 8601 et une signature HMAC avec clé par organisation. Toute altération postérieure rompt la vérification. Aucun réseau externe, aucun tiers.

08

Webhooks signés HMAC-SHA256

Callbacks de jobs asynchrones signés HMAC-SHA256 dans l'en-tête X-Nexus-Signature. Calendrier de réessais replay-safe : 1m → 5m → 30m → 2h → 12h. Vérifiables avec votre clé secrète.

09

Sentry monitoring · crédit SLA automatique

Suivi d'erreurs en production via Sentry (région UE). SLA : 99,5% Standard / 99,9% Enterprise. La violation déclenche un crédit automatique — sans ticket support.

10

Infrastructure UE uniquement

Base de données sur Supabase eu-west-2. Application sur Railway europe-west4 (Pays-Bas). Toute la résidence des données reste dans l'UE. Aucune réplication cross-region hors UE.

Sous-traitants dans la DPA →
11

Conformité multi-juridictions

RGPD + LOPDGDD (Espagne) + CCPA (Californie) + EU AI Act (cas d'usage juridiques à haut risque cartographiés) + UAE PDPL. Hooks de conformité intégrés à la plateforme, pas ajoutés a posteriori.

Avis CCPA →
12

Divulgation responsable

Les rapports de sécurité sont reçus à security@nexusquantum.legal. Nous nous engageons à accuser réception sous 72h et fournir un calendrier de remédiation sous 7 jours. Coordinated disclosure préférée.

security@nexusquantum.legal
13

Corpus législatif vérifié · sceau L4-N

Chaque citation législative dans une sortie porte le sceau [L4-N]. Le Plateau de Preuves expose un bouton de vérification en un clic : vert (correspondance littérale), ambre (le LLM a paraphrasé), rouge (citation absente du corpus), avertissement (article modifié). Les citations sont vérifiées contre le corpus de votre juridiction sous contrat ; chaque juridiction s'active sous contrat Premium.

Ouvrir le brief législation →
14

Vérification de validité · Citator (L2-J-V)

Équivalent KeyCite / Shepard's pour chaque juridiction couverte. Chaque citation porte un badge de validité : vert (fait droit), ambre (distingué), rouge (renversé), noir (loi abrogée), gris (inconnu — confiance sous le seuil). Add-on Premium, activation par contrat par juridiction (5 ou 10 jours ouvrés).

Ouvrir le brief Citator →
15

SSO SAML 2.0 · prêt à activer

L'infrastructure de Single Sign-On est construite et prête pour Enterprise. Compatible avec Okta, Azure AD, Google Workspace, OneLogin, Ping Identity et tout IdP SAML 2.0 standard. L'admin du cabinet colle le XML de métadonnées de son IdP dans l'onglet de configuration SSO ; l'équipe Nexus active le SSO pour le domaine d'entreprise ; chaque utilisateur du domaine voit le bouton « Se connecter avec SSO ». Isolé par domaine d'entreprise.

Vue d'ensemble Enterprise →
16

Contrôles SOC 2 Type II · implémentés

Les contrôles des Trust Service Criteria (Sécurité, Disponibilité, Confidentialité) sont live depuis mai 2026 : vendor register, risk register, journal d'incidents append-only, journal de changements. Période d'observation formelle prévue T3-T4 2026 ; rapport attendu T1 2027. Les clients Enterprise peuvent demander l'evidence packet sous NDA dès aujourd'hui.

Politique de sécurité →
17

Authentification à deux facteurs (2FA/MFA) · live

L'authentification multifacteur est imposée sur les accès administratifs en production. Les actions privilégiées exigent un second facteur.

18

Isolation multi-tenant (RLS) · live

La sécurité au niveau des lignes impose une isolation stricte entre tenants ; les données d'un cabinet ne sont jamais accessibles depuis un autre. Cette isolation a été vérifiée propre lors de plusieurs audits indépendants.

19

Programme de divulgation des vulnérabilités · live

Nous opérons un programme coordonné de divulgation des vulnérabilités avec un security.txt publié (RFC 9116). Les chercheurs peuvent signaler leurs découvertes via un canal documenté ; les rapports dans le périmètre sont triés et accusés.

security@nexusquantum.legal
20

Test d'intrusion dynamique indépendant · live

Un tiers indépendant a réalisé un test d'intrusion dynamique (DAST) contre l'application en production. Les découvertes ont été corrigées ; un résumé est disponible sous NDA.

21

Reçu de gouvernance signé

Chaque analyse produite par Nexus Legal est scellée. Une signature HMAC-SHA256 à clé rend chaque rapport inviolable de manière évidente, de sorte que toute modification après génération est détectable, et le sceau peut être re-vérifié à la demande par le système émetteur. Chaque sortie porte aussi un journal de gouvernance consignant les modèles utilisés, la version exacte du moteur de vérification qui l'a contrôlée et la décision approuver / réviser / bloquer, avec des marquages IA visibles et lisibles par machine sur chaque export.

Mise à jour à mesure que la plateforme évolue. Dernière révision alignée avec la DPIA publique.

DÉPLOIEMENT SOUVERAIN

Sovereign Deployment

Toute la plateforme s'exécute à l'intérieur de votre périmètre. Aucun prompt, aucune requête, aucun document ne quitte votre réseau.

La même plateforme · 63 juridictions · 150M+ jurisprudence · 20M+ législation

Besoin des documents contractuels ?

Le DPA pré-signé, le SLA et le dossier de security review sont remis à la signature. Pour Enterprise, nous exécutons une revue de sécurité sur mesure avec votre équipe.