Souveraineté EU
Sécurité & conformité
inKore est construit pour les équipes B2B européennes qui ne peuvent pas se permettre l'ambigüité sur leur donnée. Hébergement EU, RLS multi-tenant, DPA, audit log : tout est documenté ici.
DPA template v1 en cours de revue juridique. Pour signature exécutoire : legal@inkore.io.
EU-only mode traçable (tier Enterprise EU)
Toggle eu_only_modeau niveau workspace : trace l'exigence EU-only, horodate la décision et active les contrôles fournisseur par fournisseur lorsqu'ils sont disponibles. Activable depuis Settings → Sécurité après login. DPA versionné et journalisé dans audit_logs.
Principes
Hébergement EU par défaut
Toute la donnée applicative (workspaces, posts, audits, tâches) vit sur Supabase EU-West-1 à Frankfurt. Pas de transfert hors-UE pour la donnée client en repos.
Isolation multi-tenant
Row-Level Security Postgres sur chaque table métier (filtre workspace_id via auth.uid). Au-dessus, chaque server action revérifie explicitement le workspace_id côté applicatif — défense en profondeur, pas de point unique de défaillance.
Mode EU-only opt-in
Tier Enterprise EU : toggle eu_only_mode au niveau workspace pour tracer l'exigence EU-only et préparer l'enforcement fournisseur par fournisseur. Visible et pilotable depuis Settings → Sécurité.
DPA signable en self-service
Tier Enterprise EU : acceptation DPA versionnée, horodatée, et journalisée dans audit_logs. Téléchargeable au format PDF à tout moment.
Journal d'audit complet
Toute mutation de configuration sécurité (eu_only_mode, DPA, future SSO/SCIM) est tracée dans audit_logs. Lecture par les membres du workspace, export par les owners.
Pas de secrets en clair
Aucun secret applicatif n'est commité au repo. Webhooks signés (Stripe HMAC) et idempotents (déduplication par event.id). Service-role key isolée du runtime client.
Sous-processeurs
Liste exhaustive des services tiers qui touchent ta donnée. Tous ont un DPA signable, et tous ceux qui hébergent de la donnée client le font dans une région EU par défaut.
| Fournisseur | Usage | Région | DPA |
|---|---|---|---|
| Supabase | Base de données Postgres + auth | EU-West-1 (Frankfurt) | DPA |
| Anthropic | Modèle Claude (agents IA) | Selon configuration client et endpoint disponible | DPA |
| Stripe | Facturation | IE (Stripe Payments Europe) | DPA |
| Resend | Emails transactionnels | EU + US (sub-processor toggle) | DPA |
| Sentry | Observabilité erreurs | EU (sentry.io/eu) | DPA |
| Upstash | Rate limiting (Redis) | EU (eu-west-1) | DPA |
| Vercel | Hébergement applicatif | EU régions disponibles | DPA |
Roadmap conformité
- Q3 2026 — SSO SAML/OIDC (Okta, Entra, Google Workspace) + SCIM 2.0
- Q3 2026 — Rôles personnalisés et permissions granulaires par space/list
- Q4 2026 — SOC 2 Type I readiness (Vanta/Drata) ; certification Q1 2027
- Q4 2026 — Export RGPD self-service (CSV/JSON signé)
- 2027 — ISO 27001 Annex A.5 controls
Une question ?
Pour le DPA, l'évaluation des risques (TIA), le registre des sous-traitants ou tout point précis : écris à hello@inkore.io. On te répond sous 24h.