Conformité

SOC 2

Date d'entrée en vigueur: 25 juin 2026

Wirehead n'est pas certifiée SOC 2 à la v1.0.0. L'attestation SOC 2 Type I est un engagement post-lancement sur notre feuille de route. Cette page décrit notre posture de sécurité actuelle et ce que nous faisons pour être prêts pour l'audit.

Posture actuelle

La plateforme est conçue pour soutenir un audit SOC 2 Type I sans refonte :

  • Sécurité. Toutes les données en transit sont TLS 1.2 ou supérieur (Vercel + Cloudflare par défaut). Toutes les données au repos sont chiffrées (Neon, Cloudflare R2, Vercel KV).
  • Disponibilité. Les moniteurs synthétiques de Checkly s'exécutent contre la page d'accueil, le tableau des contrats et un point d'extrémité /api/health qui sonde la base de données. Sentry capte et alerte les exceptions non gérées sur les environnements d'exécution client, serveur et périphérique.
  • Intégrité du traitement. Chaque soumission de formulaire est validée côté serveur avec des schémas Zod. Les migrations de base de données sont versionnées. Toutes les compilations passent typecheck, lint, format, tests automatisés, Lighthouse (perf ≥ 90, a11y ≥ 95) et axe-core (zéro violation) avant fusion.
  • Confidentialité. Les secrets de production résident dans des variables d'environnement chiffrées Vercel, jamais dans le code. Les portées OAuth sont restreintes à openid email profile. Auth.js utilise des sessions de base de données (pas de JWT), permettant la révocation immédiate côté serveur.
  • Vie privée. Analytique sans témoins, pas de capture d'IP, sous-traitants tiers divulgués publiquement.

Piste de vérification

Chaque changement de la plateforme est validé dans GitHub avec une revue requise par CODEOWNERS. La protection de branche sur main exige que les flux CI soient verts et qu'au moins une revue d'approbation soit reçue avant toute fusion.

Feuille de route

L'attestation SOC 2 Type I est visée post-lancement, dans le cadre d'un engagement distinct. L'attestation Type II suivra. Jusqu'à ce que ces audits soient terminés, Wirehead ne revendique pas la certification SOC 2.

Diligence indépendante

Une revue complète de l'architecture et de la sécurité est disponible aux examinateurs qualifiés sous entente de confidentialité. Voir /trust.

Questions

Écrivez à trust@wirehead.com.