CAIQ-Lite v4 — format Cloud Security Alliance
Questionnaire Sécurité Vendor
PilotCrew SAS pré-remplit ce CAIQ-Lite(Consensus Assessment Initiative Questionnaire) au format CSA pour accélérer l'onboarding Procurement enterprise. Chaque réponse renvoie vers une preuve vérifiable.Aucune fausse déclaration de certification : "PARTIAL" indique un chantier en cours avec ETA explicite.
29
Questions traitées
16
OUI (preuves)
10
PARTIEL (en cours)
3
NON (honnête)
| ID | Domaine | Question | Réponse | Preuve |
|---|---|---|---|---|
| AAC-01 | Audit Assurance | Maintenez-vous un programme d'audit interne ? | PARTIEL | Audit interne via détecteurs codifiés (orphan-pages, RLS audit, cron-execution-verifier). Audit externe SOC 2 Type 1 planifié Q3 2026. |
| AAC-02 | Audit Assurance | Avez-vous un rapport SOC 2 / ISO 27001 / ISAE 3402 ? | NON | En cours : SOC 2 Type 1 lancé Q3 2026, ISO 27001 planifié 2027. Aucune fausse déclaration de certification. |
| AIS-01 | Application Security | Pratiquez-vous secure coding (OWASP Top 10) ? | OUI | CSP stricte, DOMPurify pour rendu HTML, RLS Postgres, secret-scanning git hooks.↗ preuve |
| AIS-02 | Application Security | Effectuez-vous des tests de pénétration ? | PARTIEL | Audits internes continus (détecteurs CI). Pentest externe budgété Q4 2026. |
| BCR-01 | Business Continuity | Avez-vous un plan de continuité documenté ? | PARTIEL | Multi-cloud failover LLM (Anthropic + Mistral + OpenAI + Google) via Vercel AI Gateway. Backup Supabase managé. Plan formel à formaliser Q3 2026. |
| BCR-02 | Business Continuity | Quels sont vos objectifs RTO / RPO ? | PARTIEL | RPO ≤ 24h (Supabase point-in-time recovery). RTO cible ≤ 4h. À documenter formellement Q3 2026. |
| BCR-03 | Business Continuity | Avez-vous un escrow code source ? | PARTIEL | Escrow NCC Group disponible sur demande pour deals enterprise > 100k€. ~1 200 €/an, déclenchement sur incapacité founder > 30j. |
| CCC-01 | Change Management | Avez-vous un processus de gestion des changements ? | OUI | Git + PR review + CI gates (tsc, vitest, audit:orphans, lint). Branches protégées sur main. Vercel preview deployments. |
| DSI-01 | Data Security | Les données sont-elles chiffrées en transit ? | OUI | TLS 1.2+ obligatoire (Vercel + Supabase + Cloudflare R2 + Sentry).↗ preuve |
| DSI-02 | Data Security | Les données sont-elles chiffrées au repos ? | OUI | AES-256 par défaut (Supabase managed Postgres + Cloudflare R2).↗ preuve |
| DSI-03 | Data Security | Y a-t-il une isolation tenant stricte ? | OUI | Row Level Security Postgres sur toutes les tables tenant-scoped. Service-role key serveur-only.↗ preuve |
| DSI-04 | Data Residency | Les données restent-elles dans l'UE ? | OUI | Supabase Frankfurt eu-central-1, Vercel fra1, Sentry de.sentry.io, Cloudflare R2 EU. AI providers US sous CCT.↗ preuve |
| DSI-05 | Data Lifecycle | Comment les données sont-elles supprimées en fin de contrat ? | OUI | Export JSON + Markdown à la résiliation. Suppression sous 30 jours sauf obligation légale (facturation 10 ans).↗ preuve |
| EKM-01 | Encryption | Avez-vous une politique de gestion des clés ? | PARTIEL | Secrets via env Vercel + Supabase Vault. Rotation manuelle. Gestion formalisée Q3 2026. |
| GRM-01 | Governance | Avez-vous un programme de risque documenté ? | PARTIEL | Risques EU AI Act + RGPD documentés sur /trust et /conformite. Registre Art. 30 RGPD interne. Formalisation Q3 2026.↗ preuve |
| HRS-01 | Personnel | Y a-t-il vérification des antécédents pour le personnel ? | PARTIEL | Founder unique aujourd'hui. Background check standard à mise en place dès première embauche. |
| IAM-01 | IAM | Utilisez-vous MFA pour les accès privilégiés ? | OUI | GitHub + Vercel + Supabase + Stripe MFA activés. Founder hardware key (YubiKey). |
| IAM-02 | IAM | SSO SAML / OIDC est-il disponible pour les clients ? | PARTIEL | Auth Supabase (email + OAuth Google). SAML/OIDC enterprise planifié pour plan Scale Q4 2026. |
| IVS-01 | Infrastructure | Le réseau est-il segmenté ? | OUI | Vercel functions isolées + Supabase RLS + secrets cloisonnés serveur. |
| IPY-01 | Portability | Le client peut-il exporter ses données ? | OUI | Export JSON + Markdown gratuit à la résiliation, formats standards interopérables.↗ preuve |
| MOS-01 | Mobile | Y a-t-il une app mobile ? | NON | Application web responsive. Pas d'app native iOS/Android. |
| SEF-01 | Incident Response | Avez-vous un plan de réponse aux incidents ? | OUI | Sentry monitoring + alertes Slack/Telegram. SLA breach notification 72h documenté DPA Art. 33.↗ preuve |
| SEF-02 | Vulnerability Disclosure | Acceptez-vous les rapports de vulnérabilité externes ? | OUI | Politique RFC 9116 publique avec safe harbor + SLA 48h ack / 14j critical.↗ preuve |
| STA-01 | Sub-processors | Listez-vous publiquement vos sous-traitants ? | OUI | 21 sous-traitants listés avec DPA, localisation, flag EEA, finalité.↗ preuve |
| STA-02 | Transparency | Notifiez-vous les changements de sous-traitants ? | OUI | Notification 30 jours avant ajout/retrait, droit d'objection client documenté DPA.↗ preuve |
| TVM-01 | Dependency Security | Surveillez-vous les dépendances vulnérables ? | OUI | Dependabot GitHub + npm audit en CI. Surveillance Snyk planifiée Q3 2026. |
| AI-01 | AI Governance | Conformité EU AI Act ? | PARTIEL | Art. 12 audit_logs en production, Art. 14 kill-switch enforced, Art. 50 transparence /conformite countdown 2026-08-02. FRIA Art. 27 pour systèmes high-risk en cours.↗ preuve |
| AI-02 | AI Training | Vos données client entraînent-elles vos modèles ? | NON | Zero Data Retention contractuel Anthropic + OpenAI + Google. ai.txt opt-out 16 user-agents AI scrapers.↗ preuve |
| AI-03 | AI Oversight | Existe-t-il un kill-switch humain ? | OUI | POST /api/dashboard/kill-switch-global founder-only avec confirm="ARRÊTER". Enforced sur chaque appel LLM via assertNotKilledAndUnderBudget(). TTL cache 30s.↗ preuve |
Format CAIQ officiel sur demande
Pour une réponse au format Excel CAIQ v4.0.3 officiel (CSA) ou au format propriétaire de votre Procurement (CSA STAR, SIG, SIG-Lite, HECVAT), envoyez votre template à dpo@pilotcrew.io. Délai de remplissage : 5 jours ouvrés.
Dernière révision : 2026-06-02. Cette page est mise à jour à chaque avancement substantiel sur les chantiers "PARTIAL" listés ci-dessus.
Voir aussi : /trust · /legal/dpa · /legal/subprocessors · /legal/security-disclosure · /legal/accessibility · /status