Swiss Made. Eigenentwicklung, kein Wiederverkauf 0 % Provision
[email protected]
System-Status Unsere Kunden DE FR IT Kunden-Login
Kaufen Demo testen
[email protected]
Nos clients Espace client

Sécurité et confidentialité

Comment Kapy protège les données des restaurants : Hébergement en Europe, suisse sauvegardes, FADP traitement conforme et un programme ouvert de Responsible Disclosure. Ce site s'adresse aux propriétaires de restaurants, aux investisseurs et aux chercheurs en sécurité.

Hébergement et localisation des données

L'infrastructure Kapy fonctionne sur deux fournisseurs distincts en Europe, tous deux conformes à GDPR/FADP et certifiés ISO 27001.

Site de marketing (kapy.ch) Infomaniak SA - Genève, CH - Apache - TLS 1.3
API & Apps (api.kapy.ch) Hetzner Online GmbH - Francfort, DE - ISO 27001 - GDPR
Sauvegardes de la base de données Crypté - suisse Région de stockage - quotidienne
CDN & protection contre les DDoS Cloudflare - HSTS preload - HTTP/3

Les données de commande des restaurants ne quittent pas la région UE/CH. Il n'y a pas de transfert de données vers des fournisseurs américains (pas de Google Analytics, pas de Facebook Pixel, pas de CRM américain). Les statistiques sont traitées avecPlausible(hébergé par l'UE, sans cookies, sans PII).

Cryptage

  • Transport :TLS 1.2+ forcé (HSTS preload, max-age 1 an). HTTP est redirigé vers HTTPS par 301.
  • Au repos :Volumes de base de données cryptés (LUKS/AES-256). Les sauvegardes sont à nouveau cryptées avant d'être transportées vers la deuxième région.
  • Jetons de licence :jWTs signés Ed25519 à validité courte, vérification en ligne contre api.kapy.ch.
  • Mots de passe :Argon2id avec salt pro-utilisateur, pas de hachage réversible.

Sauvegarde et reprise après sinistre

  • Sauvegardes quotidiennes automatiques de la base de données, rétention de 30 jours.
  • Archivage WAL toutes les heures - récupération point-in-time sur chaque seconde des 7 derniers jours.
  • Redondance géographique : primaire à Francfort, copies de sauvegarde dans la région suisse.
  • RTO (objectif de temps de récupération) : < 4 h. RPO (objectif de point de récupération) : < 1 h.
  • Tests de restauration trimestriels sur l'environnement de staging.

Contrôle d'accès

  • Accès SSH à l'infrastructure :authentification à clé publique uniquement (Ed25519), pas de mots de passe, MFA pour les comptes administratifs.
  • Connexion à l'application :basé sur les rôles (propriétaire / manager / employé / chauffeur), longueur minimale du mot de passe : 12 caractères.
  • Multi-tenance :chaque restaurant a une couche de base de données isolée, l'accès cross-tenant est techniquement exclu.
  • Les journaux d'audit :Les inscriptions, les activations de licence et les actions administratives sont enregistrées de manière permanente.

Mises à jour et correctifs logiciels

Kapy suit un cycle de mise à jour défini :

  • Correctifs de sécurité :dans les 48 heures suivant la découverte d'une CVE pertinente.
  • OS / Noyau :des mises à jour automatiques hebdomadaires sur les serveurs Hetzner.
  • Les versions d'applications :le client logiciel de livraison (application Electron) reçoit des mises à jour automatiques, les propriétaires de restaurants voient le numéro de version dans les paramètres.
  • Audit de dépendance :Pipeline CI avecnpm auditet des RP dependabot automatiques.

Conformité et bases de la protection des données

FADP (revDSG)suisse Protection des données depuis 09/2023
DSGVO/GDPRProtection des données de l'UE pour les clients finaux
LTVA (CH)Z-Rapport & pièces justificatives révisables
GoBDConservation et inaltérabilité

Contrat de traitement des commandes (AVV / DPA) sur demande à[email protected]. Nous traitons gratuitement les exportations de données (DSAR) dans un délai de 14 jours.

Divulgation responsable

Si vous découvrez une faille de sécurité, veuillez la signaler de manière confidentielle avant de la rendre publique :

Contact de sécurité
[email protected]

Clé PGP sur demande. Confirmation dans les 48 h, mise à jour du statut au plus tard après 7 jours, publication de la correction avec crédit (si demandé).

Actuellement, nous n'avons pas de programme de bug bounty rémunéré, mais chaque rapport sérieux est récompensé par une entrée dans le Hall of Fame et un remerciement personnel.

Lisible par une machine :/.well-known/security.txt(RFC 9116).

Statut et temps de fonctionnement

Disponibilité actuelle des services Kapy :statut.kapy.ch(en cours de construction). Les fenêtres de maintenance planifiées sont annoncées par e-mail à tous les comptes titulaires au moins 7 jours à l'avance.

Dernière mise à jour de cette page :30. Avril 2026.

Anrufen Demo testen