Passer au contenu principal

Quels sous-traitants amaise utilise-t-il ?

Écrit par amaise Support

Quels sous-traitants amaise utilise-t-il ?

amaise collabore avec les sous-traitants suivants :

Traitement IA :

  • Microsoft Azure OpenAI — Inférence LLM. Traitement régional des données (UE : Switzerland North/DataZoneStandard, US : East US/DataZoneStandard, CH : Switzerland North exclusif). Aucun entraînement sur les données clients contractuellement. La surveillance des abus est désactivée pour les déploiements DataZoneStandard et Switzerland North — pas de mise en cache des prompts ou des complétions. ISO 27001, SOC 2.

  • Google Document AI — Traitement OCR. Points de terminaison régionaux : point de terminaison UE pour les clients UE, déploiement Suisse pour les clients CH, point de terminaison US pour les clients US. Les données ne sont pas conservées. ISO 27001, SOC 2.

Infrastructure :

  • AWS — Stockage complet des données et calcul. Comptes régionaux (Francfort, Zurich, Ohio). ISO 27001, SOC 1/2/3, CSA STAR, PCI DSS.

  • Auth0 (Okta) (US) — Identité et authentification. Traite les données de connexion des utilisateurs et les événements d’authentification, pas le contenu des documents clients. SOC 2. Clauses contractuelles types RGPD.

Sécurité et conformité :

  • Snyk (US/UE) — Analyse de composition logicielle (analyse des dépendances). Pas d’accès au code source ni aux données clients. ISO 27001.

  • Scrut (IN) — Plateforme de conformité pour la gestion ISMS (ISO 27001, cycle de vie SOC 2). Pas d’accès aux données clients — traite uniquement les métadonnées d’infrastructure et les données de conformité des appareils. Les données traitées par Scrut ne contiennent aucune information permettant d’identifier des assurés ou leurs dossiers. SOC 2. Transfert sécurisé par clauses contractuelles types.

Surveillance et exploitation :

  • BetterStack (UE) — Surveillance de disponibilité. Pas d’accès aux données clients.

  • Sentry (US) — Suivi des erreurs avec nettoyage automatique des données personnelles identifiables. Pas de contenu de documents clients. Clauses contractuelles types.

  • Mixpanel (US) — Analyses produit (comportement d’utilisation). Pas de données clients, pas de données personnelles identifiables. Clauses contractuelles types.

  • Twilio (US) — Livraison SMS pour MFA. Pas de données clients. Clauses contractuelles types.

Art. 321 CP (secret professionnel) : Pour les clients suisses dont les données sont soumises au secret professionnel, amaise garantit contractuellement que les obligations de confidentialité sont respectées tout au long de la chaîne des sous-traitants. Le traitement principal (documents, base de données) reste exclusivement en Suisse. Le traitement IA s’effectue via Azure OpenAI Switzerland North avec la surveillance des abus désactivée. Les services américains de support ne traitent aucun contenu de documents clients et n’ont pas accès aux données protégées par l’art. 321.

Les modifications de la liste des sous-traitants sont communiquées aux clients à l’avance, avec droit d’opposition selon l’art. 28 RGPD. Des évaluations d’impact sur le transfert (TIA) ont été réalisées et documentées pour tous les sous-traitants basés aux États-Unis.

Articles connexes
Où les documents sont-ils traités par l’IA ?
Quels modèles d’IA et fournisseurs amaise utilise-t-il ?
Les clients peuvent-ils auditer les contrôles de sécurité d’amaise ?
Quels cadres sectoriels amaise respecte-t-il ?
Dans quelles régions les données clients sont-elles stockées ?
Avez-vous trouvé la réponse à votre question ?