Secret professionnel · RGPD · Hébergé en France
Une sécurité digne du secret professionnel
Firmly est conçu pour les cabinets qui ne peuvent se permettre aucune fuite. Chiffrement at-rest, isolation multi-tenant par Row-Level Security, audit log immuable, MFA et hébergement UE.
RGPD compatibleISO 27001 (en cours)DPA signableChiffrement AES-256TLS 1.3MFA TOTP
Piliers
Six piliers, zéro compromis
Chaque décision technique a été prise en pensant au secret professionnel.
Hébergement en France
- Supabase region EU-Paris (eu-west-3)
- Application Next.js déployée en UE
- Aucun transfert hors-UE par défaut
- Backups chiffrés quotidiens retenus 30 jours
Isolation des données
- Row-Level Security Postgres sur 100 % des tables
- Contrainte org_id appliquée au niveau base
- Service role jamais exposée au navigateur
- Bucket de documents privé par défaut
Authentification
- MFA TOTP disponible pour tous
- OAuth Google & Microsoft 365
- Sessions courtes (1h), refresh tokens révocables
- Rate-limiting sur les endpoints sensibles
Audit & journal
- Journal immuable sur chaque entité sensible
- IP, user-agent et diff conservés
- Export JSON sur demande
- Alerte sur actions à risque
Conformité RGPD
- DPA signable avec chaque cabinet
- Registre des traitements documenté
- Droit à l'oubli appliqué en 30 jours max
- Portabilité des données en 1 clic
Contrôle d'accès
- 7 rôles (owner, admin, lawyer, paralegal…)
- Permissions au niveau table et colonne
- Révocation immédiate d'un membre
- API keys scopées avec expiration
Architecture
Un seul chemin, vérifié à chaque couche
L'utilisateur, la session, l'org_id, la policy RLS : aucune étape ne peut être contournée.
Utilisateur
MFA TOTP
Next.js
Cookies HTTP-only
Postgres + RLS
org_id enforced
Chaque requête Server Action démarre par unselect set_config('app.current_org', …)qui active la policy RLS. Même avec une faille applicative, la base refuse toute ligne appartenant à un autre cabinet.
Contrôles
La fiche technique, sans fioritures
- Hébergement
- Supabase EU-Paris · Vercel Francfort
- Chiffrement at-rest
- AES-256 (managé Supabase)
- Chiffrement en transit
- TLS 1.3 avec HSTS préchargé
- Isolation multi-tenant
- Postgres RLS · org_id obligatoire
- Authentification
- Email + password · OAuth · TOTP
- Durée de session
- 1h access token · refresh révocable
- Journal d'audit
- Trigger Postgres, immuable, 3 ans
- Sauvegardes
- Quotidiennes, retenues 30 j, restore testé
- Disponibilité cible
- 99,9 % / mois
- Gestion des incidents
- Notification sous 72 h, post-mortem
- Droit à l'oubli
- Soft-delete 30 j puis purge définitive
- Portabilité
- Export JSON complet à la demande
Besoin d'un dossier complet pour votre DSI ou DPO ?
DPA, registre des traitements, architecture détaillée, résultats de pentests : on vous envoie le pack sous 24 heures.