SOC 2 Type 1
En coursFenetre d'audit T3 2026. Gap-analysis cloturee en fevrier 2026, matrice de controles tenue selon les criteres AICPA TSC. Type 2 ensuite en T1 2027.
Nous construisons GRIP OS pour des operateurs europeens qui manipulent des donnees critiques pour leur chiffre. Cette page rassemble tout ce qu'un design-partner, un investisseur ou un auditeur doit consulter avant de signer : statut SOC 2, residence des donnees UE, conformite RGPD, acces au journal d'audit, et journal d'audit des citations Sophie. Pour tout le reste, ecrivez a security@caugia.com.
Posture de conformite
Residence des donnees UE
En productionLes donnees workspace vivent dans Supabase eu-north-1 (Stockholm). Aucune donnee client ne traverse l'Atlantique pour le stockage. Vercel edge sert l'UI depuis des regions UE.
RGPD
PretDPA disponible sur demande. Liste des sous-traitants publique. Acces, rectification, effacement et portabilite honores sous 30 jours.
Conformite RGPD
Caugia SASU est responsable des donnees des visiteurs et sous-traitant des donnees workspace clients. Nous traitons le strict minimum et conservons seulement le temps necessaire.
- ✓Bases legales documentees par activite de traitement (contrat, interet legitime, consentement pour le marketing).
- ✓Demandes d'acces traitees sous 30 jours. Effacement sous 7 jours pour les donnees non archivees.
- ✓Liste des sous-traitants publiee sur /legal/data-residency. Preavis de 14 jours en cas d'ajout ou changement materiel.
- ✓Pas de besoin de representant UE : etablis en France, entite juridique unique.
- ✓Transferts transfrontaliers bloques au niveau du stockage. Stockholm uniquement.
Acces au journal d'audit
Les equipes conformite obtiennent un acces lecture seule au journal d'audit plateforme : qui s'est connecte, quelles donnees ont ete lues ou ecrites, quelles citations Sophie ont ete declenchees, et depuis quelle IP. Export CSV, plus une chaine de hash inviolable cote serveur.
Demander l'acces au journal→Journal d'audit Sophie
Sophie opere sous un contrat de discipline de citation : chaque affirmation doit pointer vers un slug reel dans le graphe de connaissance live. Chaque reponse est tracable.
- →Format de citation [framework:slug] [paper:slug] [blog:slug]. Chaque slug pointe vers une entite reelle dans le graphe de connaissance (sophie_frameworks, sophie_papers, sophie_blogs). Le compte de references orphelines est audite chaque semaine via /api/cron/sophie-hallucination.
- →Score de confiance (0,0-1,0) calcule et persiste par tour a partir des signaux resolution-archetype + couverture-frameworks + couverture-knowledge. Les tours faible-confiance (< 0,5) sont marques 'low' dans la reponse et stockes dans sophie_turn_logs.confidence_level.
- →Chaque entite citee porte URL source, auteur, annee et authority_score dans la ligne de bibliotheque correspondante. Disponible via /api/sophie/resolve.
- →Rapport d'hallucination : tous les lundis a 04h00 UTC le cron /api/cron/sophie-hallucination audite les 7 derniers jours de citations, verifie chaque entity_slug, et envoie a l'equipe le taux d'hallucination + decoupage par slug.
- →Droit a l'explication : chaque reponse Sophie embarque le bloc citation, et les arrays framework_applications + knowledge_hits permettent a tout appelant d'afficher 'voir les sources' en un clic.
Documents et preuves live
Liens directs vers le materiel sous-jacent. Tout ce qui suit est public.
Posture de securite
Modele de menaces, gardes d'auth, isolation des donnees, gestion des secrets, sauvegardes et reponse aux incidents.
Ouvrir SECURITY.md→
Architecture
Topologie d'execution, flux de donnees, modele tenant et empreinte d'infrastructure AWS + UE.
Ouvrir ARCHITECTURE.md→
Matrice de controles SOC 2
Auto-evaluation sur 30 controles, statut courant, dates cibles et pilotes de remediation.
Ouvrir la checklist→
Statut plateforme
Sante en temps reel de GRIP OS, Sophie, et des quatre demos publiques.
Ouvrir la page statut→
Contact
Declaration de securite : security@caugia.com. Demandes vie privee : privacy@caugia.com. Demandes commerciales et design-partner : contact@caugia.com.
Derniere mise a jour : 2026-04-24.