L'auditeur R2 est là.
Vous êtes prêt.
Vous traitez les données d'autres personnes pour métier. Chaque laptop qui descend du camion peut contenir des dossiers financiers, des fichiers employés, ou pire. Vos outils doivent prendre cela aussi au sérieux que vous. Data centers UE. Isolation des tenants au niveau base de données. Suivi d'erasure par drive. Pistes d'audit partout. Documentation de conformité qui se construit toute seule.
Construit pour une industrie qui est auditée.
GDPR compliant
Vos clients vous confient des laptops remplis de données employés, dossiers financiers et choses qu'ils préféreraient que personne ne voie. Nous traitons cette responsabilité comme vous. Conformité GDPR complète. DPAs prêts à signer. Droit à l'effacement implémenté — vraiment, pas “on s'en occupera.”
Aligné ISO 27001
Votre questionnaire sécurité compte 47 questions et vous en avez assez d'y répondre pour chaque vendor. Nous sommes alignés avec ISO 27001 afin que vous puissiez pointer vos clients vers notre documentation au lieu d'écrire un roman chaque fois que quelqu'un demande “comment protégez-vous nos données ?”
Prêt pour R2 / R2v3
Si vous êtes certifié R2, vous connaissez l'exigence des documentations. Chain of custody, downstream vendor tracking, data security vérification, environmental compliance — ReVend OS génère tout cela pendant que vous travaillez. L'auditeur arrive, vous sortez le rapport, vous retournez à votre café.
Compatible ADISA
Suivi d'erasure par drive avec certificats compatibles Blancco. Parce que l'auditeur ADISA sait que ce Dell Latitude avait deux drives NVMe, et “nous avons effacé le laptop” ne suffit pas. Statut par drive. Certificat par drive. Tranquillité par drive.
La sécurité n'est pas une fonctionnalité. C'est l'architecture.
Nous n'avons pas ajouté la sécurité après coup. Nous avons construit la plateforme avec elle.
Résidence des données dans l'UE
Francfort, Allemagne. eu-central-1. Vos données ne quittent pas l'Union européenne. Pas pour le traitement, pas pour les sauvegardes, pas pour l'analytics, pas parce qu'un engineer en Californie voulait debugger quelque chose. Elles restent dans l'UE. Point.
Chiffrement partout
AES-256 au repos. TLS 1.3 en transit. Les données sur disque sont chiffrées. Les données entre votre navigateur et nos serveurs sont chiffrées. Il n'y a aucun moment où vos données restent en clair en espérant que personne ne regarde.
Isolation des tenants
Postgres Row Level Security sur chaque table. Votre concurrent qui utilise aussi ReVend OS ne peut pas voir vos données. Pas via l'API, pas via un bug, pas autrement. La base de données elle-même impose les murs entre tenants. Pas l'application. La base de données.
Accès par rôle + MFA
Votre opérateur warehouse n'a pas besoin de voir les settlement financials. Votre équipe sales n'a pas besoin de voir les internal grading notes. Votre stagiaire n'a définitivement pas besoin d'accès admin. Chaque rôle voit exactement ce qu'il doit voir. Rien de plus. L'authentification multi-facteur TOTP est activée sur chaque compte, parce qu'un mot de passe fort seul ne suffit plus en 2026.
Pistes d'audit append-only
Qui a déplacé cet asset de Zone A à Zone B ? Quand le grade est-il passé de B à C, et par qui ? Qui a approuvé le settlement ? Tout est journalisé. Tout est consultable. La table audit_events est append-only au niveau trigger base de données — personne, y compris les platform admins, ne peut réécrire l'historique. La chain of custody de chaque asset est immuable. Quand l'auditeur demande, vous n'avez pas à deviner. Et personne ne peut nettoyer discrètement.
Base de données defence-in-depth
Soixante-treize fonctions SECURITY DEFINER ont eu leurs callers explicitement verrouillés. RLS policies consolidées. search_path épinglé sur chaque fonction pour éviter l'escalade de privilèges par schema-shadowing. La couche application impose la tenancy ; la couche base de données l'impose à nouveau, au cas où l'application se tromperait.
Réponse aux incidents
Nous avons des procédures documentées pour les incidents sécurité, avec notification dans les 72 heures selon le GDPR. Nous les avons testées. Nous espérons ne jamais les utiliser. Mais les procédures existent, l'équipe est formée, et personne ne doit improviser à 3 h du matin.
Chaque appareil est une responsabilité tant qu'il n'est pas effacé.
Ce Dell Latitude de la banque ? Il peut contenir des dossiers financiers clients sur le SSD. Ce HP de l'hôpital ? Des dossiers médicaux. Ce ThinkPad du cabinet d'avocats ? Vous ne voulez même pas savoir.
ReVend OS suit la data security dès l'arrivée d'un appareil. Les appareils contenant des données sont signalés au check-in. L'erasure est suivi par drive, pas par appareil — parce que ce laptop avec deux drives NVMe a besoin de deux certificats. Les rapports compatibles Blancco s'attachent automatiquement.
Quand l'auditeur ADISA demande “comment prouvez-vous l'erasure du storage device B dans le laptop RV-000003412 ?” vous ouvrez l'enregistrement. Numéro de série du drive. Méthode d'erasure. Timestamp. Numéro de certificat. Temps écoulé depuis que vous avez arrêté de vous inquiéter : zéro seconde. Parce que vous n'avez jamais commencé.
La documentation se construit pendant que vous travaillez.
Vous connaissez la panique de fin de trimestre quand l'équipe compliance a besoin de documentation R2 et que tout le monde cherche partout ? Cela n'arrive pas quand la documentation se génère pendant le travail.
Faites passer un appareil par le workflow standard : receive, test, grade, wipe, ship. À chaque étape, les artifacts de conformité pertinents se créent. Certificates of recycling. Certificates of destruction. Downstream vendor documentation. Mass balance reports. ESG sustainability data. Tous liés aux bons appareils, aux bonnes commandes, aux bons clients.
La préparation d'audit passe de “trois personnes, deux semaines, une impression de catastrophe imminente” à “sortir le rapport, envoyer le lien, retourner travailler.” Votre compliance officer pourrait même sourire. Nous ne pouvons pas garantir cette partie.
Vos données sont les vôtres. Ce n'est pas négociable.
Export complet des données à tout moment. CSV, JSON, le format dont vos systèmes ont besoin. Chaque asset, chaque grade, chaque certificat d'erasure, chaque settlement — à vous de télécharger en un clic. Nous avons rendu le départ facile parce que nous sommes convaincus que vous ne voudrez pas partir. Mais si vous partez, vos données sortent avec vous. Pas de frais de rétention. Pas de lock-in. Pas de “veuillez contacter votre account manager pour discuter des options.” Quatre-vingt-dix jours de grace period après annulation, puis nous supprimons tout. Pas “scheduled for cleanup.” Supprimé.
Nous signons les DPAs avant le petit-déjeuner. Nous accueillons les security reviews — même celles de 47 questions où la moitié pose la même chose avec d'autres mots. Nous expliquons notre architecture à votre DPO avant que vous signiez quoi que ce soit. Envoyez-nous votre questionnaire sécurité. Nous en avons probablement traité un pire la semaine dernière. La transparence n'est pas une affirmation marketing. C'est le défaut. Si votre compliance officer veut parler directement à notre équipe engineering, nous organisons l'appel. Il pourrait même apprécier.
Des questions sur la sécurité ?
Nous sommes heureux d'expliquer notre architecture sécurité à votre équipe. Ou envoyez-nous votre questionnaire sécurité. Nous l'avons probablement déjà vu.