Setlix n'est pas un prestataire de services de paiement, ni un établissement de monnaie électronique. Nous ne détenons aucun fonds. Stripe est la partie régulée à chaque étape du flux.
Les numéros de carte sont saisis via Stripe Elements, servi depuis js.stripe.com. Ils ne traversent jamais nos serveurs. Setlix ne reçoit que des tokens pm_xxx, cus_xxx. Les marchands Setlix sont placés dans le périmètre PCI-DSS SAQ-A. Stripe maintient sa certification Level 1.
Pour les données des clients finaux du marchand : Setlix est sous-traitant, le marchand est responsable de traitement, Stripe est sous-traitant ultérieur. Pour les données du marchand (nom, email titulaire) : Setlix est responsable de traitement. Politique de confidentialité détaillée.
Accord de traitement RGPD intégrant les CCT (Modules 2 ou 3 selon les cas), questionnaire sécurité fournisseur (SIG Lite, CAIQ ou personnalisé), synthèse du test d'intrusion sous NDA. Disponibles sur demande à contact@setlix.app — objet « Package conformité ».
Infrastructure principale AWS eu-west-3 (Paris). Sauvegardes chiffrées chez OVHcloud (Roubaix). Aucune réplication hors UE pour les données opérationnelles Setlix. Résidence Stripe définie par Stripe — voir leur documentation.
Droits d'accès, de correction, de suppression et de portabilité honorés pour les résidents de Californie. Setlix ne vend ni ne loue aucune donnée personnelle et n'engage aucun « partage » au sens du CPRA. Signaux Global Privacy Control (GPC) émis par le navigateur honorés automatiquement.
Setlix n'entre pas dans le périmètre direct du règlement DORA (UE 2022/2554), n'étant pas une entité financière. Nous maintenons un plan de continuité aligné DORA pour faciliter l'audit de nos clients régulés. Documentation disponible sur demande.
La vérification d'identité du marchand, le criblage sanctions (UE, OFAC, ONU) et le suivi LCB-FT sont assurés par Stripe dans le cadre de son agrément. Setlix ne duplique pas ces contrôles mais maintient sa propre liste d'activités interdites dans la politique d'usage acceptable.
Déclaration DAC7 (plateformes UE) gérée par Stripe pour les marchands éligibles. Setlix n'émet pas de déclarations fiscales pour ses clients. SOC 2 : non certifié à ce jour ; cible SOC 2 Type I sous 12 mois après la beta publique, puis Type II sur 12 mois glissants.
| Fonction | Réalisée par |
|---|---|
| Autorisation, capture, règlement carte | Stripe Payments Europe |
| KYC du marchand, ouverture du compte | Stripe |
| Détention des fonds, versement vers votre banque | Stripe |
| Conformité réseau (Visa, Mastercard, etc.) | Stripe |
| Gestion des chargebacks et réponses litige | Stripe (avec nos outils) |
| Déclarations fiscales européennes (DAC7, etc.) | Stripe |
| Interface checkout hébergé & composants embarqués | Setlix |
| Tableau de bord marchand et analytics | Setlix |
| Automatisation webhooks, intégrations | Setlix |
| Support client sur le logiciel | Setlix |
| Stockage du profil marchand & données opérationnelles | Setlix |
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Stripe Payments Europe Ltd.Sous-traitant ultérieur de paiement | Traitement des paiements, KYC marchand, règlement vers banque. | Irlande |
| Amazon Web Services EMEA SARLHébergement principal | Hébergement & stockage de l'application Setlix. | France · eu-west-3 |
| OVHcloud SASStockage secondaire | Sauvegardes chiffrées hors AWS, conservation hebdomadaire. | Roubaix, France |
| Cloudflare, Inc.Edge & sécurité | CDN, anti-DDoS, WAF managé, challenge anti-bot. | Edge mondial · config UE |
| PostmarkActiveCampaign LLC | Emails transactionnels (reçus, notifications). | États-Unis · CCT |
| Plausible Insights OÜMesure d'audience | Statistiques de fréquentation du site sans cookies. | Estonie, UE |
| Google WorkspaceProductivité interne | Email interne, SSO équipe, documents collaboratifs. | États-Unis / UE |
// Toute modification substantielle de cette liste fait l'objet d'une notification 30 jours avant · Les clients sur formule entreprise peuvent pré-approuver les sous-traitants via leur contrat-cadre
DPA Setlix avec annexe sous-traitants ultérieurs et clauses contractuelles types Modules 2/3 intégrées.
Demander → // 02 — PCIAttestation de conformité PCI-DSS Level 1 de Stripe Inc., téléchargeable depuis la documentation Stripe.
Demander → // 03 — SECURITYSynthèse des contrôles techniques et organisationnels Setlix : chiffrement, accès, surveillance, incident.
Demander → // 04 — QUESTIONNAIREQuestionnaires sécurité fournisseur pré-remplis (SIG Lite, CAIQ) ou format personnalisé sur demande.
Demander → // 05 — PENTESTSommaire exécutif du dernier test d'intrusion externe, partageable sous NDA. À venir post-beta.
Demander → // 06 — USAGEListe des activités interdites côté Setlix, en complément des règles réseau et des restrictions Stripe.
Lire →