DPA, Politique de Sécurité de l'Information (PSI), ROPA, certificats et rapports d'audit
au fur et à mesure de leur publication. Les documents marqués « sur demande » sont disponibles sous accord de confidentialité.
Disponible au téléchargement
Accord de Sous-Traitance des Données (DPA)
Template de Data Processing Agreement conforme RGPD article 28. Couvre les obligations Maestor (sous-traitant) vis-à-vis du Client (responsable du traitement). Inclut la liste des sous-traitants ultérieurs et les mesures techniques en annexes. Signable en l'état pour la plupart des Clients ; négociable au cas par cas pour les grands comptes.
Disponible au téléchargement
Mesures Techniques et Organisationnelles (TOMs)
Annexe sécurité (article 32 RGPD) : synthèse des mesures réellement en place — hébergement souverain (Suisse), chiffrement en transit et au repos, double authentification, RBAC granulaire, isolation multi-tenant, sauvegardes off-site, supervision auto-hébergée, purge RGPD. Le document de référence pour la due diligence sécurité.
Disponible au téléchargement
Politique de Sécurité de l'Information (PSI)
Politique de sécurité de haut niveau (ISMS) appuyée sur le cadre ISO/IEC 27001:2022 (93 contrôles suivis) : principes directeurs, gouvernance, domaines de contrôle, conformité RGPD/eIDAS, révision annuelle.
Disponible au téléchargement
Politique de Sauvegarde & de Continuité d'Activité (PCA/PRA)
Dispositif réel de sauvegarde et de reprise : sauvegardes chiffrées quotidiennes externalisées hors-serveur (dépositaire suisse), chiffrement de bout en bout, restauration testée, objectifs RPO 24 h / RTO 4 h, scénarios de sinistre couverts.
Disponible au téléchargement
Politique de Gestion des Incidents
Détection, qualification par sévérité (mineur à critique), traitement (endiguement, investigation, remédiation), communication client (notification sous 72 h pour les violations de données personnelles), post-mortems publics et coordination avec les autorités.
Sur demande sous NDA
Registre des Activités de Traitement (ROPA)
Registre des traitements au sens de l'article 30 RGPD (finalités, catégories de données et de personnes, bases légales, durées de conservation, sous-traitants, transferts). Communiqué aux clients et aux autorités sur demande, sous accord de confidentialité.