Trust center

Vos données, en sécurité en France.

NUMMA héberge votre comptabilité, votre paie et vos flux bancaires sur une infrastructure souveraine, chiffrée de bout en bout et auditée chaque année par un tiers indépendant.

Hébergement SecNumCloud

Données stockées exclusivement chez OVHcloud (Roubaix / Gravelines) et Scaleway (Paris), tous deux qualifiés SecNumCloud par l'ANSSI. Aucune donnée n'est transférée hors UE.

Chiffrement bout en bout

TLS 1.3 en transit, AES-256 au repos. Les sauvegardes et exports sont eux-mêmes chiffrés. Les clés sont rotées tous les 90 jours et stockées dans un HSM.

Authentification forte (MFA)

Authentification à deux facteurs (TOTP, WebAuthn / clé physique) recommandée pour tous les comptes, obligatoire pour les rôles administrateur et expert-comptable.

Sauvegardes redondées

Sauvegardes incrémentales toutes les 4 heures, complètes chaque nuit, répliquées sur deux datacenters distincts. RPO ≤ 24 h, RTO ≤ 4 h.

Pentest annuel + bug bounty

Test d'intrusion réalisé chaque année par un cabinet PASSI référencé ANSSI. Programme de bug bounty privé ouvert aux chercheurs en sécurité.

Plan de continuité (PCA)

Architecture multi-AZ, failover automatique, exercices de restauration trimestriels documentés. Continuité même en cas de perte d'un datacenter complet.

Conformité & certifications

Les standards qui structurent NUMMA

RGPD natif

Privacy-by-design dès la conception, registre des traitements, AIPD pour chaque module sensible, DPA disponible sur demande.

SecNumCloud (ANSSI)

Hébergeurs qualifiés SecNumCloud, niveau de souveraineté maximum exigé par les administrations françaises pour les données sensibles.

ISO 27001 (en cours)

Système de management de la sécurité de l'information aligné ISO 27001. Certification visée pour 2026 sur le périmètre SaaS NUMMA.

DSP2 / Open Banking

Agrégation bancaire opérée via partenaires agréés ACPR (Bridge, Budget Insight). Aucun identifiant bancaire n'est stocké en clair par NUMMA.

PCI-DSS

Les paiements sont délégués à Stripe (PCI-DSS Level 1). NUMMA ne stocke jamais de numéro de carte bancaire, même tokenisé.

Hébergement HDS (option)

Pour les clients du secteur santé, un hébergement HDS (Hébergeur de Données de Santé) est disponible en option sur le plan Enterprise.

Signaler une faille de sécurité

NUMMA encourage le signalement responsable des failles de sécurité. Si vous identifiez une vulnérabilité, contactez-nous à contact@numma.eu avec l'objet « Vulnérabilité ». Nous accusons réception sous 24 h et tenons informé le rapporteur jusqu'à correction. Aucune action en justice ne sera engagée contre les chercheurs respectant notre politique de divulgation responsable.

Documents disponibles sur demande

  • Rapport de pentest annuel (synthèse)
  • Plan d'Assurance Sécurité (PAS)
  • DPA (téléchargeable ici)
  • Architecture technique haut niveau
  • Liste des sous-traitants à jour
  • Attestation SecNumCloud des hébergeurs

Notre engagement

La sécurité n'est pas une checklist : c'est un engagement quotidien. NUMMA dédie au moins 15 % de son budget tech à la sécurité, à la fiabilité et à la conformité.

Une question sécurité ?

Notre équipe répond aux questions des DSI, RSSI et DPO sous 4 h ouvrées.

Échanger avec un expert Voir le DPA