SOC 2 Type II

En cours

Certification Service Organization Control 2 pour la sécurité, la disponibilité et la confidentialité

Law 172-13

Conforme

Loi n° 172-13 — Loi dominicaine sur la protection intégrale des données personnelles

GDPR-Aligned

Aligné

Pratiques équivalentes au RGPD — infrastructure hébergée en Allemagne, normes RGPD appliquées volontairement

Law 183-02

Conforme

Loi n° 183-02 — Loi monétaire et financière de la République dominicaine

PCI DSS

En cours

Norme de sécurité des données de l'industrie des cartes de paiement

ISO 27001

En progression

Certification du système de management de la sécurité de l'information

Conformité réglementaire

HipoTech est constituée selon les lois de la République dominicaine et opère dans le cadre réglementaire dominicain en tant que juridiction principale. Notre programme de conformité est conçu pour protéger les données des clients, maintenir l'intégrité de notre modèle de passerelle technologique et respecter les exigences de chaque juridiction dans laquelle nous entrons lors de notre expansion internationale.

1. Protection des données — République dominicaine

Loi n° 172-13 — Protection intégrale des données personnelles

En tant qu'entreprise dominicaine, notre obligation principale en matière de protection des données est la Loi n° 172-13. Notre conformité comprend :

  • Consentement explicite des personnes concernées avant toute collecte et tout traitement (article 76)
  • Consentement au transfert international en vertu de l'article 80 — les utilisateurs consentent explicitement au stockage des données en Allemagne lors de leur inscription
  • Droits Habeas Data — accès, rectification, annulation et opposition (article 17)
  • Limitation des finalités — données collectées uniquement pour le traitement des demandes de prêt hypothécaire
  • Conservation des données sur cinq ans, alignée sur les exigences de tenue de registres financiers
  • Mesures de sécurité proportionnées à la sensibilité des données financières et d'identité

Pratiques équivalentes au RGPD

Notre infrastructure est exploitée par Hetzner Online GmbH en Allemagne, un État membre de l'UE soumis au RGPD. Nous appliquons volontairement des normes équivalentes au RGPD, notamment :

  • Base légale pour toutes les activités de traitement des données
  • Droits des personnes concernées équivalents au RGPD : accès, rectification, effacement et portabilité
  • Analyses d'impact relatives à la protection des données pour les activités à haut risque
  • Principes de protection des données dès la conception appliqués dans l'ensemble de la plateforme
  • Procédures de notification de violation de données alignées sur le délai de 72 heures du RGPD

2. Conformité des services financiers — République dominicaine

Loi n° 183-02 — Loi monétaire et financière

HipoTech opère en tant que passerelle technologique et non en tant qu'intermédiaire financier réglementé en vertu de la Loi 183-02. Notre conformité comprend :

  • Maintien du caractère automatisé et non consultatif de la plateforme — aucune recommandation de crédit ni décision de prêt
  • Pleine transparence dans les arrangements commerciaux avec les banques partenaires, y compris la divulgation des frais d'apporteur dans les Conditions d'utilisation
  • Protection des données des demandeurs conforme aux exigences de la Superintendance des Banques
  • Mesures de sensibilisation LAB appropriées pour un opérateur de passerelle technologique

Pratiques non discriminatoires de la plateforme

HipoTech s'engage en faveur de l'égalité d'accès aux services hypothécaires :

  • Les demandes sont soumises simultanément à toutes les banques éligibles — aucune banque n'est favorisée ou exclue en fonction d'une caractéristique protégée
  • L'évaluation de l'éligibilité est basée uniquement sur les critères publiés de chaque banque — HipoTech n'exerce aucun pouvoir discrétionnaire
  • Le Gestionnaire de Documents automatisé applique le même processus de manière uniforme à chaque demande
  • Les tarifs sont uniformes — tous les demandeurs du même niveau paient les mêmes frais quel que soit leur profil

3. Certifications de sécurité

SOC 2 Type II

Nous poursuivons la certification SOC 2 Type II, qui validera :

  • Sécurité : Protection contre les accès non autorisés
  • Disponibilité : Engagements de fiabilité et de disponibilité du système
  • Intégrité du traitement : Traitement des demandes précis et complet
  • Confidentialité : Protection des informations confidentielles des demandeurs et des banques
  • Vie privée : Traitement approprié des données personnelles et financières

Statut actuel : Audit en cours — contactez [email protected] pour le statut actuel

PCI DSS

Nous travaillons à la certification PCI DSS pour le traitement des cartes de paiement. Mesures actuelles en place :

  • Tout le traitement des paiements est effectué via des prestataires tiers certifiés PCI — les données des cartes n'atteignent jamais les serveurs HipoTech
  • Chiffrement TLS 1.3 pour tous les flux de paiement
  • Contrôle d'accès strict et segmentation réseau pour les systèmes liés aux paiements
  • Analyses de vulnérabilités régulières de l'infrastructure liée aux paiements
  • Certification PCI DSS formelle prévue à mesure que le volume de transactions augmente

ISO 27001

Nous travaillons à l'obtention de la certification ISO 27001 pour notre Système de Management de la Sécurité de l'Information :

  • Évaluation et traitement des risques sur tous les actifs informationnels
  • Politiques et procédures de sécurité documentées
  • Gestion des incidents et planification de la continuité d'activité
  • Amélioration continue par des audits internes et externes réguliers
  • Validation par un organisme de certification accrédité

4. Lutte contre le blanchiment d'argent (LAB) et vérification d'identité

HipoTech met en œuvre des mesures de sensibilisation LAB adaptées à une passerelle technologique. Les obligations formelles LAB incombent aux banques partenaires, qui effectuent leurs propres procédures KYC et LAB sur toutes les demandes reçues. Nos mesures au niveau de la plateforme comprennent :

  • Vérification d'identité à l'inscription — nom complet, pièce d'identité nationale (cédula) et coordonnées requis
  • Intégration au bureau de crédit pour le croisement des données d'identité
  • Vérifications automatisées de la cohérence documentaire — nom, date de naissance et employeur croisés dans les documents téléchargés par le Gestionnaire de Documents
  • Tous les dossiers de demandes et de paiements sont conservés pendant au moins cinq ans
  • Les signalements d'incohérence documentaire sont communiqués aux banques partenaires via le Rapport de conditions

5. Contrôles internes et audit

Nous maintenons des contrôles internes robustes pour garantir l'intégrité de la plateforme et la sécurité des données :

  • Suivi automatisé des exceptions et détection des anomalies actifs en permanence
  • Journalisation d'audit complète — toutes les actions administratives et les événements d'accès aux données sont enregistrés de manière infalsifiable
  • Sealed Secrets pour la gestion des identifiants — aucun secret en clair dans les dépôts de code source
  • Chiffrement par enveloppe GCP KMS pour tous les documents du vault
  • Planification de la réponse aux incidents et revues de sécurité programmées

6. Intégrité opérationnelle

HipoTech maintient des normes opérationnelles strictes qui soutiennent sa position juridique en tant que passerelle technologique :

  • Le Gestionnaire de Documents est 100% automatisé — aucun employé ni sous-traitant de HipoTech n'examine les documents des demandeurs à quelque étape que ce soit
  • Tous les accords bancaires sont signés au nom de HipoTech — le modèle de licence ne transfère pas les droits de contractualisation bancaire
  • Les arrangements de frais d'apporteur avec les banques sont divulgués aux demandeurs dans les Conditions d'utilisation et n'influencent pas les banques qui reçoivent les demandes
  • Les tarifs de la plateforme proviennent de la configuration en temps réel — jamais codés en dur dans l'interface
  • L'authentification multifacteur est disponible pour tous les comptes utilisateurs

7. Gestion des risques tiers

Tous les fournisseurs d'infrastructure et partenaires de services sont sélectionnés et évalués pour leur conformité en matière de sécurité et de protection des données :

  • Hetzner Online GmbH (Allemagne) — centres de données certifiés ISO 27001 ; soumis au RGPD en tant que sous-traitant selon notre accord de traitement
  • Google Cloud KMS — gestion des clés de chiffrement par enveloppe ; certifié SOC 2 Type II et ISO 27001
  • Cloudflare — mitigation DDoS, terminaison TLS et routage des e-mails ; certifié SOC 2 Type II
  • DeepL — API de traduction ; conforme au RGPD ; traitement confiné à l'infrastructure de l'UE
  • Accords de traitement des données en vigueur avec tous les fournisseurs traitant des données personnelles

8. Feuille de route de conformité

Objectifs de conformité 2026–2027 :

  • Finaliser l'audit SOC 2 Type II et obtenir la certification
  • Lancer l'analyse des écarts ISO 27001 et mettre en place la documentation du SMSI
  • Finaliser l'audit de certification ISO 27001
  • Préparer le cadre de conformité spécifique au pays pour l'entrée sur le marché mexicain

9. Contacter notre équipe de conformité

Pour toute demande liée à la conformité ou pour signaler un problème :

Conformité HipoTech

E-mail : [email protected]