Hébergé en France
Datacenter Paris
Chiffrement AES-256
Au repos + en transit
Conforme RGPD
DPO joignable
DSN officielle
NEODES P26V01
En détail
Notre architecture sécurité, point par point
Hébergement 100 % en France
Vos données ne quittent jamais le territoire français. Aucun transfert hors UE, aucune dépendance à un cloud américain.
- Datacenter Scaleway — Paris (DC3)
- Conforme aux exigences DGCCRF / CNIL
- Résilience Tier-3+ avec double alimentation et refroidissement redondant
Chiffrement de bout en bout
Toutes les données sensibles sont chiffrées au repos comme en transit. Le NIR (numéro de Sécurité sociale) est chiffré individuellement.
- TLS 1.3 sur toutes les connexions HTTPS
- AES-256-GCM pour les données au repos
- Mots de passe : aucun stockage (auth par lien magique)
Conformité RGPD complète
Lunapay est conforme au Règlement Général sur la Protection des Données. Vous restez propriétaire de vos données et pouvez les exporter ou les supprimer à tout moment.
- Politique RGPD claire et lisible
- Export complet de vos données en 1 clic
- Suppression définitive sur demande
- DPO joignable à dpo@lunapay.fr
Conformité paie & DSN
Le moteur de paie est conforme au Code du travail français et au format DSN officiel NEODES P26V01 de Net-Entreprises.
- Bulletins conformes au décret n° 2017-858 (modèle clarifié)
- Mention obligatoire du Net social (arrêté du 25 février 2025)
- DSN format NEODES P26V01 (validateur officiel intégré)
- Barèmes URSSAF / AGIRC-ARRCO mis à jour à chaque évolution
Sauvegarde et résilience
Vos bulletins, brouillons et historique sont sauvegardés automatiquement. Aucune perte possible.
- Backup PostgreSQL automatique toutes les heures
- Rétention 30 jours sur backups complets
- Réplication synchrone multi-zones disponible
- Disponibilité cible : 99,9 % (status.lunapay.fr)
Authentification sans mot de passe
Pas de mot de passe = pas de mot de passe volé. L'authentification par lien magique élimine toute une classe d'attaques.
- Lien valable 15 minutes, à usage unique
- Hash SHA-256 du token stocké en BDD
- JWT signé HS256, durée 1h
- Rate limiting strict (5 demandes / 15 min / IP)
Architecture moderne et auditée
Code source modulaire, dépendances à jour, surveillance permanente.
- Stack moderne : Next.js 15, Fastify 5, PostgreSQL 17, Prisma
- Dépendances surveillées (alertes CVE Snyk)
- Code revu et testé avant chaque déploiement (39+ tests automatisés)
- Logs centralisés avec rotation automatique
Accès et rôles d'utilisateurs
Chaque workspace est totalement isolé. Vous seul avez accès à vos bulletins.
- Isolation stricte entre workspaces (impossible de croiser les données)
- Sécurité applicative à plusieurs niveaux (auth + règles BDD)
- Audit log de toutes les actions sensibles (suppression, modification)
Vous avez identifié une faille ?
Nous remercions tous les chercheurs en sécurité qui nous aident à améliorer Lunapay. Contactez-nous à security@lunapay.fr avant toute divulgation publique. Nous nous engageons à répondre sous 48 h ouvrées et à corriger les failles critiques en moins de 7 jours.
Questions fréquentes sur la sécurité
Mes données paie sont-elles vendues ou exploitées ?
Non. Aucune donnée client n'est vendue, partagée ou utilisée à des fins publicitaires. C'est inscrit dans nos CGU et notre politique RGPD.
Que se passe-t-il si je veux quitter Lunapay ?
Export complet en 1 clic depuis vos paramètres (bulletins PDF + JSON structuré). Suppression définitive de toutes vos données sur simple demande à dpo@lunapay.fr.
Vos serveurs sont-ils audités ?
L'hébergement Scaleway dispose de la certification ISO/IEC 27001. Nos pratiques internes (revue de code, tests, logs) sont en cours de formalisation pour viser une certification en 2027.
Que faire en cas d'incident ?
Statut en temps réel sur status.lunapay.fr. Notifications email immédiates aux clients impactés. Post-mortem public publié sous 7 jours pour tout incident majeur.