Trust Center · due diligence vendor

Tout ce que votre CISO demanderait.

Certifications en direct, liste des sous-traitants, résidence des données, SLA publics, posture sécurité et procédure responsible disclosure. Une seule page pour accélérer la due diligence de ceux qui évaluent Fortgale comme fournisseur.

4Certifications ISO
UE uniquementRésidence des données core
30 minRéponse IR · 24/7
≤ 24hRéponse sécurité

01 Certifications et alignements

Quatre certifications ISO actives vérifiées par un organisme tiers, en plus d'un alignement opérationnel avec les principaux cadres réglementaires européens.

ISO/IEC 27001

Information Security Management

Système de management de la sécurité de l'information. Audit annuel, surveillance tous les 12 mois.

Validité · 2024-2027 PDF →
ISO 9001

Quality Management

Système de management de la qualité. Référence pour les processus opérationnels et la gouvernance.

Validité · 2024-2027 PDF →
ISO 14001

Environmental Management

Système de management environnemental. Mesure et réduction de l'impact environnemental des services.

Validité · 2024-2027 PDF →
ISO 45001

Occupational Health & Safety

Système de management de la santé et sécurité au travail. Protection du personnel opérationnel.

Validité · 2024-2027 PDF →

Alignements réglementaires

NIS2
Transposition Directive UE

Posture alignée aux exigences pour les entités essentielles et importantes. Support au processus de notification CSIRT national 24/72h.

DORA
Règl. UE 2022/2554

Opérationnel sur les exigences du Digital Operational Resilience Act pour le secteur financier européen.

GDPR
Règl. UE 2016/679

Alignement complet. DPA structuré (Art. 28) pour chaque client. DPIA sur demande.

ENISA · CSIRT
Lignes directrices européennes

Aligné aux lignes directrices ENISA sur le baseline minimum de cybersécurité et le périmètre cyber national.

02 Résidence des données

Toutes les données opérationnelles (télémétrie SOC, journaux clients, données de contact) sont conservées dans des centres de données situés dans l'Union européenne, principalement en Italie et dans d'autres États membres de l'UE. Aucune donnée critique n'est répliquée hors de l'UE. Le personnel accédant aux données est entièrement européen et opère depuis le siège de Milan.

Télémétrie SOC / journaux clients
🇮🇹 Italie
Sauvegarde & cold storage
🇪🇺 Union européenne
E-mail · suite collaboration
🇪🇺 Union européenne · EU Data Boundary
Site public · CDN
🇪🇺 Union européenne · edge UE
Opérations SOC
🇮🇹 Milan · personnel européen
Juridiction applicable
🇮🇹 Italie · droit européen (RGPD)

Exceptions contrôlées : chargement des polices web (sans PII) et — uniquement avec le consentement explicite de l'utilisateur — pixels analytiques et marketing. Tout transfert hors UE s'effectue exclusivement sous Clauses Contractuelles Types (SCC 2021/914) et, le cas échéant, EU-US Data Privacy Framework.

Fournisseurs spécifiques sous NDA. La liste détaillée des fournisseurs d'infrastructure, régions utilisées et DPAs est disponible dans la liste des sous-traitants ci-dessous et — en version signée — sur demande à info@fortgale.com.

03 Liste des sous-traitants

Liste des sous-traitants (RGPD Art. 28) utilisés pour la fourniture des services. Mise à jour au 5 mai 2026. Nous notifions les clients disposant de DPAs actifs au moins 30 jours avant tout changement substantiel.

Fournisseur Finalité Région Contrat
Microsoft Ireland Operations Ltd E-mail, Teams, SharePoint, Bookings UE (Irlande · NL) Microsoft DPA · Online Services Terms
Fournisseur IaaS UE (sous NDA) Hébergement web, environnements staging et production UE DPA + SCC 2021/914
Google Ireland Limited Google Fonts (CDN typographie) UE + US Google DPA + SCC + EU-US DPF
LinkedIn Ireland Unlimited Insight Tag (avec consentement uniquement) UE + US LinkedIn DPA + SCC
Plausible Insights OÜ Analytique privacy-first (pas de PII) UE Plausible DPA UE uniquement

04 SLA publics

Les valeurs indiquées sont des objectifs de service applicables sur les contrats retainer actifs et mesurés sur les 12 derniers mois. Les SLA contractuels spécifiques au client sont définis dans le Service Agreement correspondant.

30 min
Réponse IR (incident en cours)
24/7/365 · sur retainers actifs
1–4 h
Confinement initial
Selon le périmètre et les accès fournis
< 15 min
Temps de détection (MTTD)
Médiane sur les clients MDR (12 derniers mois)
< 60 min
Temps de réponse (MTTR)
Médiane · alertes critiques
≤ 24 h
Notification CSIRT (NIS2)
Early warning · accompagnement client
< 24 h ouvrées
Réponse sales / presse
Hors week-ends et jours fériés

05 Posture sécurité

Mesures techniques et organisationnelles adoptées pour protéger la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes (RGPD Art. 32 · contrôles Annexe A ISO 27001).

Chiffrement

TLS 1.3 en transit · AES-256 au repos · gestion des clés sur Microsoft HSM.

Accès

Zero Trust · authentification multi-facteurs · accès just-in-time · break-glass tracé.

Surveillance

Journaux centralisés · monitoring SOC 24/7 · rétention 12+ mois.

Sauvegarde

Sauvegardes redondantes · test DR périodique.

Gestion des vulnérabilités

Scanning continu · pentest annuel · SLA de patching différencié (P1 < 48h).

Personnel

NDA permanent · formation cyber semestrielle.

06 Responsible disclosure

Si vous avez découvert une vulnérabilité dans nos systèmes (site web, infrastructure, produit), nous vous demandons de suivre notre procédure de divulgation coordonnée.

01

Contactez-nous immédiatement

E-mail à info@fortgale.com avec description, PoC technique et vos coordonnées. Chiffrement PGP disponible sur demande.

02

Nous répondons dans les 48 heures

Accusé de réception, classification initiale, ETA pour le correctif. Nous trions chaque rapport, même s'il ne relève pas de notre périmètre.

03

Divulgation coordonnée

Nous convenons d'une fenêtre de divulgation (généralement 90 jours après le correctif). Nous vous remercions publiquement dans le hall of thanks si vous le souhaitez.

Ce qu'il ne faut pas faire : tentatives d'accès non autorisées aux données de tiers, DDoS, ingénierie sociale du personnel, destruction de données. Nous opérons en safe harbor avec les chercheurs agissant de bonne foi.

07 Documents téléchargeables

Documentation disponible publiquement ou sur demande (certains après signature NDA).

ISO/IEC 27001
Certificat ISMS 2024-2027
PDF · 198 Ko
Voir →
ISO 9001
Certificat Management Qualité 2024-2027
PDF · 203 Ko
Voir →
ISO 14001
Certificat Environnemental 2024-2027
PDF · 202 Ko
Voir →
ISO 45001
Certificat Santé &amp; Sécurité 2024-2027
PDF · 200 Ko
Voir →
Modèle DPA
Data Processing Agreement (RGPD Art. 28)
Sur demande · signature NDA
Demander →
Questionnaire sécurité
Réponses pré-remplies (style CAIQ · 180 entrées)
Sur demande · signature NDA
Demander →
Liste des sous-traitants
Version PDF signée · dernière mise à jour mai 2026
PDF · placeholder
Demander →

08 Contacts sécurité

Pour les questions de sécurité technique, l'onboarding vendor, la due diligence :

Sécurité · vulnérabilité
info@fortgale.com

Responsible disclosure, questionnaire sécurité vendor, SOC2/CAIQ.

Confidentialité · DPO
privacy@fortgale.com

Exercice des droits RGPD, DPA, DPIA, demandes de changement de sous-traitant.

Conformité · audit
info@fortgale.com

Demandes d'audit client, preuves, accès aux rapports.

Parler avec le centre de défense

Un rendez-vous. Un NDA. Une conversation avec nos analystes.

Pas de funnel. Pas de démo générique. Nous vous apportons un Report construit sur votre secteur et des analystes avec autorité de décision.

Délai de réponse : < 1 jour ouvré.