Réunir le CRM, la comptabilité, les RH et le helpdesk sur une seule plateforme soulève de vraies questions. Voici comment nous y répondons — par conception, par architecture et par défaut. Email [email protected] si rien de ce qui suit ne suffit.
Pas de théâtre de badges. Voici l'architecture qui protège vos données — vérifiable dans la façon dont la plateforme est construite et exploitée, pas dans un certificat encadré.
La plupart des plateformes regroupent tous les clients dans une seule grande base de données partagée et vous séparent par un account_id colonne. Mewayz ne le fait pas. Chaque locataire dispose de sa propre base de données et de son propre environnement, et chaque partenaire en marque blanche dispose de sa propre boîte entièrement isolée.
Vos données vivent dans une base de données provisionnée pour votre seul espace de travail — pas dans une table partagée séparée par un filtre. Pas de performances perturbées par les voisins, pas de surface de requête inter-locataires, pas de « un mauvais WHERE le risque que « la clause fuie pour tout le monde ».
Chaque partenaire en marque blanche est provisionné avec son propre utilisateur Linux, sa base de données et son espace de fichiers — automatiquement, en environ deux minutes. Les clients, fichiers et données d'un partenaire restent dans le conteneur de ce partenaire. Rien n'est mélangé.
Mewayz exécute une instance d'application, une base de données et un environnement distincts dans chaque région. Vos données sont créées et restent dans la région que vous choisissez lors de l'inscription (UE, États-Unis ou APAC). La résidence et la faible latence sont donc la valeur par défaut et non un module complémentaire.
Voici les règles que notre équipe de sécurité applique à la conception. Elles ne sont pas de simples aspirations : ce sont les obstacles qu'une fonctionnalité doit franchir avant d'être livrée.
Nous ne vendons pas d'analyses agrégées. Nous n'entraînons pas de modèles de ML sur vos enregistrements. Nous ne lisons pas les e-mails entrants à des fins marketing. Vos données sont le produit que nous hébergeons, pas une matière première.
Un clic dans les Paramètres exporte tout dans des formats standards. Nous facilitons le départ, et c'est voulu. Le meilleur client est celui qui sait qu'il peut partir et choisit de rester.
AES-256 au repos. TLS 1.3 en transit. Gestion des clés via AWS KMS avec option de clé gérée par le client sur le forfait Agence. Pas de tarification du type « on chiffrera les clients premium ».
Les employés accèdent aux données client uniquement sous audit, uniquement lorsqu'un client a ouvert un ticket d'assistance le leur demandant, et uniquement pour les enregistrements concernés par le ticket. Chaque accès est journalisé, indéfiniment.
Choisissez la région UE, US ou APAC lors de l'inscription. Les données restent dans la région par défaut. La réplication inter-régions est facultative, avec un consentement explicite dans le DPA.
En cas d'incident de sécurité affectant les données clients, nous prévenons les clients concernés dans les 72 heures suivant la confirmation de l'impact. Aucune exception, aucun délai d'attente validé par les RP.
À choisir lors de l'inscription. Ne peut être modifié après le chargement des données sans migration planifiée. Sous-traitants par région listés sur le portail de confiance.
| Région | Zones de disponibilité principales | Hébergé par | Sauvegardes | Sous-traitants |
|---|---|---|---|---|
| UE | Francfort · Dublin · Stockholm | AWS eu-central-1, eu-west-1, eu-north-1 | Dans la région · 35 jours | UE uniquement |
| É.-U. | Virginie · Oregon · Ohio | AWS us-east-1, us-west-2, us-east-2 | Dans la région · 35 jours | États-Unis uniquement |
| APAC | Singapour · Tokyo · Mumbai | AWS ap-southeast-1, ap-northeast-1, ap-south-1 | Dans la région · 35 jours | Régional |
SLA de disponibilité de 99,95 % sur Business, 99,99 % sur Agency. Déploiements multi-AZ avec basculement automatique. Runbooks de reprise après sinistre testés et exécutés chaque trimestre. Page de statut publique sur status.mewayz.com.
Récupération à un instant précis pour n'importe quel moment des 35 derniers jours. Instantanés horaires pour les 7 derniers jours. Restauration testée chaque mois. RTO de 4 heures ; RPO de 15 minutes.
SSO via SAML 2.0 / OIDC sur Business+. Provisionnement SCIM sur Agence. MFA requise pour tous les comptes admin. Accès basé sur les rôles avec 14 rôles par défaut plus un constructeur de rôles personnalisés.
Chaque action sur la plateforme est consignée dans une piste d'audit inaltérable. Conservée pendant 7 ans. Transmissible en flux vers Splunk / Datadog / Elastic via une intégration. Alertes d'activité suspecte intégrées.
Revue de sécurité annuelle de chaque sous-traitant. Fournisseurs de niveau 1 (AWS, Stripe, Twilio) sous contrat direct. Liste de niveau 2 publiée ; préavis de 30 jours avant l'ajout de nouveaux.
Test d'intrusion externe deux fois par an. Red team interne chaque trimestre. Programme de bug bounty avec HackerOne — récompenses de $250 (faible) à $10,000 (critique). Périmètre publié, aucun accord de confidentialité requis.
Sur une infrastructure que nous exploitons nous-mêmes — notre propre base de données et serveur de messagerie fonctionnant sur AWS EC2 derrière Cloudflare. Elle n'est pas confiée à une chaîne de fournisseurs SaaS tiers. C'est ce que signifie « pile auto-hébergée » : vos données essentielles restent au sein du périmètre que nous maîtrisons. Deux exceptions, toutes deux sous votre contrôle : les données de carte sont gérées par Stripe (PCI DSS niveau 1), de sorte que nous ne stockons jamais les numéros de carte bruts, et les fonctionnalités d'IA font appel à OpenAI, Anthropic ou Google à l'aide de votre propre clé API — que vous pouvez configurer ou désactiver.
Oui. Nous disposons d'un DPA standard que la plupart des équipes d'achats acceptent tel quel. Les DPA personnalisés sont examinés par notre service juridique — généralement approuvés sous 5 jours ouvrés.
Dans la région que vous sélectionnez à l'inscription. Les données de la région UE restent dans l'UE. Les États-Unis aux États-Unis. L'APAC en APAC. Aucune réplication inter-régions silencieuse.
Par défaut, non. L'accès nécessite un ticket de support initié par le client et un octroi de rôle explicite. Chaque accès est journalisé et peut vous être communiqué sur demande.
Notification aux clients concernés sous 72 heures. Rapport d'incident public après remédiation. Nous ne calons pas nos divulgations sur les cycles médiatiques.
Annulez votre compte dans Paramètres → Compte. Après 30 jours, les données sont purgées de la production. Les sauvegardes expirent à 35 jours. Les journaux d'audit conservent les métadonnées du compte pendant 7 ans (obligation légale) ; les données de contenu sont purgées.
Non. Les données client ne sont jamais utilisées pour entraîner des modèles. Les fonctionnalités d'IA n'utilisent les données client que pour la requête immédiate (par exemple, rédiger un e-mail pour ce client) et la requête n'est pas conservée par le fournisseur du modèle.
Email [email protected] avec les détails et les étapes pour reproduire le problème. Nous répondons sous 1 jour ouvré pour les signalements critiques et coordonnons une divulgation responsable.
Nous publions un portail de confiance avec chaque rapport, sous-traitant et politique. Envoyez un e-mail au [email protected] pour obtenir les dernières nouvelles.