Minimisation & protection des données
Nous ne traitons que les données strictement nécessaires. Aucune donnée personnelle ou biométrique n'est journalisée en clair. Pour le KYC, la piste d'audit ne conserve qu'un numéro de document masqué et son empreinte cryptographique (SHA-256), jamais la donnée brute — conformément à l'AMLR, à la CSSF 22/806 et à DORA.
Souveraineté européenne
Hébergement européen (cible OVHcloud–DEEP, Luxembourg). Aucune donnée transférée hors UE ni vers un hyperscaler non européen. Briques 100 % open source auditables.
Aucun traceur tiers
Pas d'analytics non européen, pas de police ni de CDN externe. Les ressources sont auto-hébergées (default-src 'self'). Rien de vous n'est envoyé à un tiers.
Sécurité par conception
TLS partout, en-têtes de sécurité stricts (HSTS, CSP, anti-clickjacking), limitation de débit anti-abus et surface d'attaque minimale — hérités par tous les produits via le socle commun.
Conformité intégrée
RGPD, eIDAS 2.0, AMLR, NIS2, AI Act ; au Luxembourg CSSF 22/806, DORA et projet de loi AI Act (CNPD). La conformité est une exigence de conception, documentée et tracée.
Divulgation responsable
Vous avez identifié une vulnérabilité ? Écrivez-nous à security@trustena.lu. Notre politique est publiée dans /.well-known/security.txt (RFC 9116). Nous nous engageons à accuser réception et à traiter les signalements de bonne foi.