Principes

Gravenos traite les données selon le principe de ne collecter que le minimum nécessaire à la fourniture du service, de ne les conserver que pour la durée minimale compatible avec cette fourniture, et de les protéger par les contrôles qu'un professionnel raisonnable attendrait.

Nous ne vendons pas de données. Nous ne partageons pas de données avec des partenaires marketing. Nous n'utilisons pas la publicité comportementale. Ce ne sont pas des affirmations promotionnelles ; ce sont des engagements architecturaux, manifestes dans l'absence, au sein de notre code source, de toute intégration qui les rendrait possibles.

Quelles données nous détenons

Sur le site corporate (gravenos.com), nous collectons les adresses électroniques des abonnés à la lettre d'information ainsi que le contenu des soumissions de formulaire de contact. Sur la plateforme Drusus (drusus.ai), nous détenons les données nécessaires à l'exploitation d'un produit par abonnement : identité du compte (adresse électronique et empreinte du mot de passe), composition du portefeuille que l'utilisateur a choisi d'enregistrer, listes de suivi, configurations d'alertes et historique analytique.

Les données de paiement sont traitées par Stripe. Gravenos ne stocke ni numéros de carte, ni cryptogrammes, ni coordonnées bancaires complètes sur ses serveurs. L'intégration est conçue de telle sorte que ces données ne transitent jamais par nos systèmes.

Infrastructure

Notre base de données et notre couche d'authentification sont opérées par Supabase, dans la région eu-north-1. La plateforme Drusus et le site gravenos.com sont déployés sur Vercel. Les courriels sont expédiés via Resend. Les domaines sont enregistrés via Cloudflare. Les paiements sont traités par Stripe.

Chacun de ces prestataires opère selon une norme de sécurité reconnue. Aucun ne nous est exclusif ; nous les avons retenus parce qu'ils constituent les choix établis et crédibles dans leurs catégories respectives. Le compromis qu'implique ce choix est que notre posture de sécurité est, en partie, fonction de la leur. Nous divulguons les incidents survenant chez l'un quelconque de ces prestataires qui ont une incidence plausible sur nos utilisateurs (voir la section Actualités).

Authentification

Les comptes sur la plateforme Drusus sont authentifiés par adresse électronique et mot de passe. Les mots de passe sont stockés sous forme d'empreintes salées ; nous ne pouvons ni ne savons retrouver le mot de passe en clair d'un utilisateur. L'authentification unique via les principaux fournisseurs est disponible. L'authentification multi-facteurs sera introduite avant le lancement public.

Position réglementaire

Gravenos est immatriculée au Royaume-Uni. La plateforme Drusus produit du commentaire analytique, des modèles de scénarios et des calculs de risque ; elle ne produit pas de conseil en investissement au sens du périmètre réglementaire de la FCA. Nous nous engagerons en temps voulu auprès du FCA Innovation Hub afin d'obtenir la confirmation formelle de cette position de périmètre. Jusqu'à ce que cet engagement soit abouti, la position énoncée ici est notre meilleure appréciation professionnelle, étayée par la revue de notre Avertissement financier par un conseil juridique.

La conformité en matière de protection des données est conduite au titre du UK GDPR et du Data Protection Act 2018. L'enregistrement auprès de l'Information Commissioner's Office est en cours.

Divulgation des incidents

En cas d'incident de sécurité affectant les systèmes de Gravenos, ou affectant un prestataire tiers d'une manière ayant une incidence plausible sur les utilisateurs de Gravenos, nous publierons un avis dans la section Actualités de ce site aussi promptement que les faits le permettent, et nous mettrons cet avis à jour à mesure que l'enquête progresse.

Nous ne souscrivons pas à la pratique consistant à émettre des avis initiaux si vagues qu'ils n'apportent rien. Lorsque les faits sont incertains, nous le disons ; lorsque des données peuvent ou non avoir été affectées, nous précisons lesquelles ; lorsque l'étendue est inconnue, nous disons ce qui est connu et ce qui ne l'est pas. Le corollaire est que nos avis peuvent être plus longs que la norme du secteur. Nous estimons qu'il s'agit du compromis correct.

Signalement des vulnérabilités

Si vous estimez avoir identifié une vulnérabilité de sécurité dans un système Gravenos, nous vous demandons d'écrire à legal@gravenos.com en indiquant les détails. Nous accuserons réception de votre signalement et, le cas échéant, créditerons publiquement la découverte une fois le problème résolu.