Vos données pharmacie
en sécurité, en France.
Pharwiz applique les standards les plus exigeants en matière de sécurité, chiffrement, résilience et conformité RGPD. Voici, dans le détail, ce qui protège vos données.
Les 4 piliers de notre sécurité
Une approche défense en profondeur, par couche, par fournisseur, par contrôle.
Souveraineté française
Hébergement Scaleway Paris, sauvegardes EU, DNS OVH. Aucune dépendance hyperscaler US dans la chaîne critique.
Chiffrement de bout en bout
TLS 1.2+ en transit, AES-256 et age (X25519) au repos. Mots de passe bcrypt, secrets versionnés chiffrés.
Sauvegarde quadruple
Production + Amsterdam + NAS local en France + clé hors infra. Test de restauration automatisé chaque mois.
Zéro données patients
Allowlist explicite des tables LGO scannées. Tables patients/ordonnances strictement bloquées par design.
Une stack 100% européenne
Aucune partie de la chaîne critique (calcul, stockage, DNS, sauvegardes) n'est hébergée chez un hyperscaler américain.
Données soumises exclusivement aux régulations européennes. Pas de CLOUD Act, pas de FISA, pas de transferts hors EEE.
Architecture fork-per-tenant disponible pour les groupements premium (isolation physique container + schéma DB).
Défense en profondeur
4 niveaux de protection indépendants. Une attaque doit franchir toutes les couches pour atteindre vos données.
Niveau réseau
- Anti-DDoS OVH (DNS)
- Anti-DDoS Scaleway (L3/L4)
- DNSSEC signé
- Transfer-lock domaine
- Filtrage IP hyperviseur
Niveau applicatif
- Headers HTTP + CORS strict
- Anti-SQL injection (ORM paramétré)
- Anti-XSS (React auto-escape strict)
- Validation Pydantic stricte
- Code /app et /admin servi sous JWT
- Sourcemaps non publiques
- Rate-limiting par endpoint
Niveau email
- SPF actif (soft fail ~all)
- DKIM Google + OVH
- DMARC quarantine (p=quarantine, pct=100)
- Anti-spoofing cryptographique
Niveau auth
- JWT Supabase ~1h + refresh rotatif
- 2FA TOTP admin
- Bcrypt mots de passe
- Secrets chiffrés age + versionnés Git
- Rate-limit anti-bruteforce
4 copies redondantes de vos données
Une stratégie 3-2-1 étendue : même si trois infrastructures tombent en même temps, vos données restent récupérables.
Production VPS Scaleway Paris
Continue
Bucket S3 Scaleway Amsterdam (EU, chiffré age)
Quotidien · 03:00 UTC
Serveur NAS privé en France (hors cloud)
Hebdo · Dim 05:00
Clé de déchiffrement hors infra (cold storage)
Statique
RPO
≤ 24h
Perte maximale acceptée
RTO
≤ 4h
Rétablissement cible
Test restore
Mensuel
Automatisé sur Postgres test
Kill switch
< 10s
Bascule mode read-only contrôlée
Zéro donnée patient. Par design.
Pharwiz ne traite aucune donnée patient ni donnée de santé à caractère personnel au sens de l'article 9 du RGPD. Cette politique est appliquée techniquement, pas seulement contractuellement.
- Allowlist explicite des tables LGO autorisées
- Blocklist stricte : tables patients, ordonnances, sécu sociale
- Lecture limitée aux dossiers LGO connus uniquement
- Agrégation côté agent avant envoi à Pharwiz
- Aucun lien patient individuel transmis ni stocké
- Code agent auditable sur demande des groupements
Conformité RGPD stricte
Tous les principes du Règlement (UE) 2016/679 appliqués. Vos droits activables en un email.
Licéité
Bases légales documentées
Minimisation
Données strictement nécessaires
Exactitude
Mise à jour à la demande
Limitation
Durée de conservation définie
Intégrité
Chiffrement et sauvegarde
Responsabilité
Registre des traitements
Vos droits, en un email
Droit d'accès
Export complet en JSON/CSV
Droit de rectification
Modification de vos données
Droit à l'oubli
Suppression sous 30 jours
Droit à la portabilité
Export JSON depuis Paramètres > Données
Droit d'opposition
Refus de traitement à tout moment
Droit de réclamation
Auprès de la CNIL
Contact dédié : dpo@pharwiz.com. Réponse sous 30 jours maximum (obligation légale article 12.3 RGPD).
Monitoring & gestion des incidents
Détection automatisée 24/7. Communication transparente. Engagement de post-mortem public en cas d'incident majeur.
Surveillance 24/7
- Hyperping (FR) : checks réguliers multi-régions EU
- Sentry : error tracking applicatif (DPA EU)
- status.pharwiz.com (page publique)
- Audit log intranet : actions admin tracées
- Logs centralisés Scaleway
- Alertes email Sentry + Hyperping à l'équipe Pharwiz
Réponse aux incidents
- T+0Détection automatique (Hyperping + Sentry)
- T+15minMise à jour status.pharwiz.com
- T+30minCommunication aux clients groupement impactés
- T+4hRésolution cible (RTO)
- T+72hNotification CNIL si breach RGPD
- T+7jPost-mortem publié si incident majeur
Sous-traitants transparents
Liste exhaustive de nos sous-traitants conforme à l'article 28 du RGPD. DPA disponible sur demande.
Tout changement de sous-traitant fait l'objet d'une notification proactive 30 jours minimum aux clients sous contrat groupement.
Vérifiez par vous-même
Notre posture de sécurité est auditable publiquement. Pas de promesse, des preuves vérifiables.
SSL Labs
Test public de la qualité TLS du backend.
Lancer le test
Mozilla Observatory
Audit public des headers HTTP de sécurité.
Voir le rapport
security.txt (RFC 9116)
Programme de divulgation responsable et contact sécurité.
Voir le fichier
DPA & questionnaires DSI
DPA standard disponible. Réponse aux questionnaires sous 5 jours ouvrés.
Demander le DPA
Cycle de vie sécurisé du code
De l'écriture à la production : chaque étape outillée pour empêcher les fuites et les régressions.
Code & déploiement
- Revue de code systématique avant merge
- Tests automatisés (5000+ unitaires + intégration)
- Tests obligatoires verts avant déploiement
- Déploiements zero-downtime
- Rollback en 1 commande
Sécurité supply chain
- Alertes CVE GitHub Security Advisories actives
- Veille active sur les dépendances critiques
- Repos Git privés + 2FA obligatoire sur les accès dépôt
- Aucun tiers en lecture sur le code
- Audit régulier des secrets dans l'historique Git
Pour aller plus loin
Le whitepaper sécurité Pharwiz détaille intégralement notre architecture, nos protocoles de chiffrement, nos sous-traitants et nos engagements RGPD. Document destiné aux DSI et RSSI.