gbox
Vos données restent chez vous. Book a demo
Conformité

SOC 2 Type 1 — notre roadmap

Beaucoup de clients ETI nous demandent SOC 2 dès l'évaluation. Voici exactement où nous en sommes, sans bullshit.

Statut actuel · Engagement de certification démarré · Q3 2026 · partenaire : Vanta
Roadmap

Jalons trimestriels

Q3 2026
Démarrage Vanta + scoping
Création du compte Vanta. Définition du périmètre (gbox-web + Box on-premise). Inventaire des contrôles à implémenter.
En cours
Q4 2026
Implémentation des contrôles
Mise en œuvre des contrôles techniques manquants : journalisation, gestion des accès, MFA, gestion des incidents, formation équipe.
Prévu
Q1 2027
Audit Type 1
Audit indépendant sur point dans le temps. Auditeur agréé AICPA. Rapport SOC 2 Type 1 délivré sur clôture.
Planifié
Q2 2027
Période d'observation
Démarrage de la période d'observation 6 mois requise pour Type 2 (preuves continues du fonctionnement des contrôles).
Planifié
Q3 2027
Audit Type 2
Audit indépendant sur la période. Disponibilité du rapport SOC 2 Type 2 avant fin Q3 2027.
Planifié
Trust Service Criteria

Couverture des 5 critères

L'AICPA définit 5 critères auditables. Voici ceux que nous adressons.

🔒
Sécurité (CC1-CC9)
Critère obligatoire. Couvre contrôle d'accès, gestion des identités, protection des systèmes. Notre architecture on-prem facilite la mise en conformité.
Disponibilité (A1)
Critère couvert. SLA contractuel sur gbox managed (99,9 %). Sur gbox on-premise : sous votre responsabilité.
🤐
Confidentialité (C1)
Critère central pour gbox. Architecture on-prem + chiffrement at-rest et in-transit + audit logs.
Intégrité du traitement (PI1)
Critère couvert pour les flux de données entre composants gbox. Validation des entrées, contrôles automatisés.
🪪
Privacy (P1-P8)
Critère plus étendu (couvre RGPD-like). Notre architecture on-prem y répond nativement. Documentation Privacy by Design fournie.
En attendant

Ce qu'on fournit dès aujourd'hui

Sans certificat formel SOC 2, nous fournissons toute la documentation pour qu'un RSSI ou auditeur puisse évaluer notre niveau de sécurité.

  • Dossier d'architecture sécurité
    Document technique complet (50+ pages) : flux de données, chiffrement, gestion des secrets, audit logs, gestion des incidents.
  • Audit logs détaillés
    Tous les événements gbox sont auditables. Format SIEM-compatible (Splunk, Elastic, Sumo Logic). Conformité avec les exigences AICPA CC2.
  • DPA + sous-traitance documentée
    Modèle d'accord de traitement RGPD. Liste exhaustive des sous-traitants techniques. Compatible avec les questionnaires DSI standards.
  • Pentest indépendant annuel
    Pentest réalisé par un cabinet agréé ANSSI. Rapport public-friendly fourni sur demande, sous NDA.

Une question RSSI ?

Notre équipe sécurité est habituée aux questionnaires longs. Envoyez-nous votre RFP et on remplit en moins de 5 jours.

Démarrer une évaluation sécurité