Sécurité de niveau entreprise sans la complexité d'entreprise
Firma.dev protège vos documents avec un chiffrement de niveau bancaire, des contrôles d'accès stricts et une infrastructure prête à la conformité. Conçu pour les équipes qui ont besoin de sécurité sans le casse-tête d'approvisionnement.
Firma.dev fonctionne sur l'infrastructure AWS dans l'Union européenne
AWS maintient les certifications SOC 2 Type II, ISO 27001 et HIPAA. Toutes les données client sont stockées dans des centres de données de l'UE.
Les sauvegardes s'exécutent toutes les 60 secondes avec une récupération à un instant donné. Toutes les sauvegardes sont chiffrées et stockées dans l'UE. Un historique complet des versions est disponible pour chaque document.
Le statut du système est public sur status.Firma.dev. Nous n'offrons pas actuellement de SLA formels.
Authentification et contrôle d'accès
Authentification API
Toutes les requêtes d'API nécessitent une authentification basée sur des clés. Les limites de taux protègent contre les abus. Voir les détails des limites de taux.
Connexion au tableau de bord
Google et GitHub SSO sont pris en charge. Le contrôle d'accès basé sur les rôles permet aux propriétaires de compte de définir ce que les membres de l'équipe peuvent voir et faire.
Firma.dev protège les signataires tout au long du processus de signature
Liens de signature uniques
Chaque signataire reçoit une URL unique liée à sa demande de signature. Les liens ne peuvent pas être partagés ou réutilisés par d'autres signataires.
Expiration du lien
Les liens de signature expirent après 7 jours par défaut. Vous pouvez configurer des fenêtres d'expiration personnalisées (en heures) lors de la création de modèles.
Pour les détails de mise en œuvre, voir la documentation de la demande de signature.
Toutes les requêtes de webhook sont signées avec HMAC SHA-256
Chaque requête comprend :
X-Firma-Signatureavec votre secret de signature actuelX-Firma-Signature-Oldavec votre secret précédent pendant la période de grâce de rotation de 7 jours
Vous pouvez récupérer votre secret de signature depuis le tableau de bord et le faire pivoter via l'API. Vérifiez toujours les signatures des webhooks pour éviter l'usurpation d'identité. Consultez le guide des Webhooks.
Identité du signataire et adresse e-mail
Horodatage de chaque action (vue, signée, complétée)
Adresse IP du signataire
Hachage de document pour la détection de falsification
Enregistrement de consentement confirmant l'accord du signataire
Statut d'achèvement et génération de certificat
Les journaux d'audit ne peuvent ni être modifiés ni supprimés. Vous pouvez les récupérer via l'API pour les examens de conformité, les litiges juridiques ou les audits internes.
Validité de la signature électronique
Firma.dev produit des signatures électroniques légalement contraignantes sous :
Loi ESIGN et UETA (États-Unis)
Les signatures électroniques sont légalement équivalentes aux signatures manuscrites pour la plupart des transactions.
eIDAS SES et AdES (Union européenne)
Firma.dev prend en charge les signatures électroniques simples et les signatures électroniques avancées avec des pistes d'audit indéniables et l'identification du signataire.
eIDAS du Royaume-Uni
Les signatures électroniques demeurent valables en vertu du droit de l'Union européenne maintenu.
Protection des données
Le consentement du signataire est capturé et enregistré avant l'application de toute signature.
RGPD (Union Européenne)
Toutes les données sont stockées dans l'UE. Firma.dev agit en tant que sous-traitant de données en votre nom. Un accord de traitement des données est disponible pour tous les clients. Nous aidons avec les demandes des sujets de données selon les besoins.
HIPAA (États-Unis)
Firma.dev fonctionne sur une infrastructure AWS conforme à HIPAA, ce qui la rend adaptée aux documents liés aux soins de santé. Si vous avez besoin d'un accord de partenariat commercial, contactez le support.
Normes de sécurité
Firma.dev est conçu en tenant compte des principes SOC 2. Les certifications SOC 2 Type II et ISO 27001 sont sur notre feuille de route.
Traitement et conservation des données
Accord de traitement des données
Un Accord de Traitement des Données est disponible pour tous les clients ici. Des copies contresignées sont disponibles sur demande. Contactez le support.
Rétention et suppression des données
Les documents sont conservés indéfiniment à moins que vous ne demandiez leur suppression. Les clients peuvent demander la suppression complète du compte et des données à tout moment.
Contrôle d'accès du personnel
L'accès aux données des clients est limité au personnel spécifique de Firma.dev. La visualisation du contenu des documents nécessite une autorisation explicite au niveau du compte.
Tests de sécurité et réponse aux incidents
Nous employons des testeurs de pénétration et des réviseurs de code à temps plein pour identifier les vulnérabilités avant qu'elles n'atteignent la production. Des politiques de réponse aux incidents internes sont en place et testées régulièrement.
Firma.dev
VS
D
DocuSign
Divulgation Responsable
Nous accueillons les rapports de vulnérabilité de la part des chercheurs en sécurité. Si vous découvrez un problème de sécurité potentiel, veuillez nous contacter à security@firma.dev. Nous examinons tous les rapports et répondons rapidement.
