Pour les SaaS existants en conformité

Le chemin le plus rapide vers un trail SOC 2, ISO 27001 et RGPD

Tu as déjà un SaaS en production. Maintenant il te faut un trail d'audit qui survive à un rapport Type II, à un audit ISO 27001 stage-2 et à une DPIA RGPD. Recalled te donne les trois sans migrer une seule table.

Commencer gratuitementLire le guide conformité
Logger une action sensible en 5 lignes
// Every sensitive action ends up in Recalled
await recalled.events.create({
  action: "data.export.requested",
  actor: { id: admin.id, email: admin.email },
  organization: tenant.id,
  targets: [{ type: "dataset", id }],
  metadata: { format, requesterType, reason },
});

Tu es en plein engagement conformité. L'auditeur a demandé les access logs. Le DPO a demandé une data map. Tes prospects entreprise demandent un DPA. Les trois veulent la même chose : un registre immuable, recherchable et exportable de qui a fait quoi, quand, avec les données de qui. Recalled est ce registre, et tu peux l'ajouter à un produit en prod sans migration.

Pourquoi les SaaS en phase conformité choisissent Recalled

  • Hash chain signée en HMAC

    Chaque event est signé en HMAC-SHA256 avec une clé serveur et chaîné au précédent. Les auditeurs SOC 2 et ISO 27001 appellent GET /v1/events/verify pour vérifier toute la chaîne sans nous faire confiance.

  • Hébergement EU, RGPD-ready

    Toutes les données stockées dans l'UE, chiffrées au repos en AES-256, DPA accepté à l'inscription, effacement en un appel pour l'Article 17.

  • Trail hors base

    Le trail ne vit pas dans ton Postgres. Une brèche de ta base principale ne permet pas à un attaquant de réécrire les preuves d'audit.

  • Exports CSV pour auditeurs

    Filtre par plage de dates, préfixe d'action ou acteur. Donne l'export à ton auditeur, ton avocat, ton DPO, ton client.

La checklist conformité, cochée

Access logs avec intégrité hash-chaînée, ok. Change logs pour les actions sensibles, ok. Trail pour les demandes d'accès, ok. Résidence EU, ok. Chiffrement au repos, ok. Effacement en un appel pour l'Article 17, ok. DPA à l'inscription, ok. Tu passes ton temps d'ingé sur le produit, pas sur le tableur.

Par quoi commencer

Trois cas d'usage qui font le plus bouger la conformité.

Fournir les preuves SOC 2 / ISO 27001

SOC 2 et ISO 27001 demandent tous les deux un registre immuable des actions sensibles. Recalled émet des events hash-chaînés et signés pour que ton auditeur vérifie l'intégrité sans faire confiance à ta base.

Trail d'audit prêt RGPD

Recalled est hébergé en EU, chiffré au repos, et expose un endpoint d'anonymisation en un appel pour l'Article 17. Shippe un trail d'audit RGPD sans construire ta propre couche de protection des données.

Auditer chaque action admin

Logge chaque action sensible exécutée par un membre du staff depuis ton back-office : suspensions, remboursements, impersonations, changements de rôle. Réponds à 'qui a fait ça et quand' avant même qu'on te le demande.

Actions à câbler en priorité

admin.user.suspendedLogger les suspensions adminadmin.role.changedLogger les changements de rôleadmin.impersonation.startedLogger l'impersonation staffdata.export.requestedLogger les demandes d'export de donnéesuser.account.deletedLogger les suppressions de compte

Ton prochain audit log est à 2 minutes

Arrête de bricoler ta propre table de logs. Branche Recalled, émets ton premier event, passe à la suite.

Commencer gratuitementLire la doc