Votre Carte de visite virtuelle est-elle conforme à la norme SOC 2 ?
Trouver une plateforme de Cartes de visite virtuelles conforme à la norme SOC 2 n'est plus une option : c'est une exigence de base pour tout déploiement en entreprise. Si votre équipe partage des données de contact via un outil qui n'a pas passé d'audit SOC 2 de type II, vous vous exposez à un risque non maîtrisé au sein de votre infrastructure de sécurité. 🔐
Dans ce guide, je vous expliquerai en détail ce que signifie la certification SOC 2 Type II pour les Cartes de visite virtuelles, comment vérifier la conformité de votre fournisseur actuel à cette norme et comment la plateforme d'entreprise de Wave Connect est conçue dès le départ pour réussir les audits de sécurité. Ayant participé à suffisamment d'évaluations des risques fournisseurs, je sais ce qui importe réellement aux équipes informatiques ; allons donc droit au but.
Ce que vous apprendrez
- Explication simple de la norme SOC 2 Type II : définition, fonctionnement et importance accrue par rapport à la norme Type I
- Liste de vérification de conformité en 8 points : Questions précises à poser à votre fournisseur de Cartes de visite virtuelles avant de les approuver
- La suite de sécurité complète de Wave : toutes les certifications, normes de chiffrement et contrôles d’accès sont intégrés à Wave Connect.
- Pourquoi une approche basée sur un navigateur est plus sécurisée : comment un nombre réduit de vecteurs d’attaque protège les données de votre entreprise
Votre Carte de visite virtuelle est-elle conforme à la norme SOC 2 ? (Et pourquoi c’est important)
Voici un point souvent négligé : chaque fois qu’un employé partage une Carte de visite virtuelle , il transmet des données de contact via une plateforme tierce. Noms, adresses e-mail, numéros de téléphone, fonctions, informations sur l’entreprise, et parfois même comptes rendus de réunion et données CRM.
Pour une start-up de 10 personnes, c'est gérable. Pour une entreprise de 500 personnes dans les services financiers ou la santé ? Cela représente un risque en matière de données. Et si votre fournisseur de Cartes de visite virtuelles n'est pas certifié SOC 2 Type II, vous donnez de facto à un tiers non audité l'accès à votre base de données clients.
J'ai été témoin de cette situation. Dans un organisme de santé où je travaillais, l'équipe de conformité a signalé une application de cartes bancaires grand public que les employés avaient adoptée de leur propre initiative. Aucun rapport SOC 2. Aucun accord de traitement des données. Aucune authentification unique. Juste une application qui collectait des données de contact sans aucune visibilité sur leur destination.
Qu’est-ce que la certification SOC 2 Type II ? (Explication simple)
SOC 2 signifie System and Organization Controls 2. Il s'agit d'un cadre de conformité développé par l' AICPA (American Institute of Certified Public Accountants) qui définit comment les prestataires de services doivent traiter les données clients.
Le cadre couvre cinq critères de services de confiance :
- Sécurité : Protection contre les accès non autorisés (pare-feu, chiffrement, détection d'intrusion)
- Disponibilité : Temps de fonctionnement du système et reprise après sinistre
- Intégrité du traitement : Exactitude et exhaustivité des données
- Confidentialité : Accès restreint aux informations sensibles
- Confidentialité : Comment les données personnelles sont collectées, utilisées et conservées
Voici la distinction essentielle : la certification SOC 2 Type I est un instantané à un moment précis ; elle indique « à cette date, nos contrôles étaient en place ». La certification SOC 2 Type II couvre une période prolongée (généralement de 6 à 12 mois) et prouve que ces contrôles étaient opérationnels de manière constante. C’est la certification Type II dont les équipes d’approvisionnement des entreprises ont besoin, et c’est ce que vous devriez exiger de tout fournisseur de Cartes de visite virtuelles.
Voyez les choses ainsi : le type I, c’est comme réussir un simple contrôle surprise. Le type II, c’est comme maintenir une moyenne générale de 4,0 pendant toute une année. Une différence considérable.
Comment évaluer si votre Carte de visite virtuelle est conforme à la norme SOC 2
J'ai été des deux côtés des questionnaires de sécurité : je les ai remplis pour Wave et je les ai examinés en tant que fournisseur. Voici la liste de contrôle en 8 points que je recommanderais à tout directeur informatique évaluant une plateforme de Cartes de visite virtuelles pour son équipe :
Liste de contrôle d'évaluation de sécurité en 8 points
- Demandez directement le rapport SOC 2 Type II. Pas un résumé, le rapport complet. S'ils ne peuvent pas le fournir, vous aurez votre réponse.
- Vérifiez les normes de chiffrement. Recherchez AES-256 pour les données au repos et TLS 1.3 pour les données en transit. Toute norme inférieure est obsolète.
- Vérifiez la compatibilité avec l'authentification unique (SSO). Peut-elle s'intégrer à votre fournisseur d'identité (Okta, Azure AD, Google Workspace) ? L'authentification manuelle pour 500 utilisateurs représente une faille de sécurité.
- Vérifiez que l'authentification multifacteurs est disponible. Elle devrait être une fonctionnalité standard et non une option payante.
- Renseignez-vous sur le RBAC. Le contrôle d'accès basé sur les rôles signifie que les administrateurs, les gestionnaires et les utilisateurs n'ont pas tous les mêmes autorisations. Indispensable pour les déploiements en équipe .
- Examinez les options de résidence des données. Où sont stockées les données de contact ? Pouvez-vous spécifier les régions pour la conformité au RGPD ?
- Évaluez les autorisations de l'application. La plateforme exige-t-elle une application native ? Si oui, quelles autorisations d'accès à l'appareil demande-t-elle ? Appareil photo, contacts, localisation ? Chaque autorisation représente une faille de sécurité.
- Vérifiez la conformité aux normes en vigueur. La norme SOC 2 constitue le minimum requis. Assurez-vous également de la conformité au RGPD, de la certification d'accessibilité VPAT et de la prise en charge des exigences spécifiques à votre secteur d'activité par la plateforme.
La suite complète de sécurité et de conformité de Wave Connect
Entrons maintenant dans le détail des éléments intégrés à l'infrastructure de sécurité de Wave Connect . Voici le détail complet :
| Couche de sécurité | Wave Connect | Pourquoi c'est important |
|---|---|---|
| SOC 2 Type II | ✓ Certifié | Contrôles de sécurité audités de manière indépendante sur une période de 6 à 12 mois |
| Conforme au RGPD | ✓ Conforme | Conformité totale à la protection des données de l'UE avec DPA disponible |
| VPAT (Accessibilité) | ✓ Certifié | Modèle d'accessibilité volontaire des produits - garantit que les cartes sont accessibles à tous les utilisateurs |
| Chiffrement AES-256 (au repos) | ✓ | Chiffrement de niveau militaire pour toutes les données de contact, les modèles et les analyses stockées |
| TLS 1.3 (En transit) | ✓ | Sécurité de couche transport de dernière génération pour chaque appel API, partage de carte et action d'administration |
| Basé sur un navigateur (pas d'application) | ✓ | Aucun code exécutable sur les appareils des employés – aucune autorisation d'application, aucun risque lié à l'informatique parallèle |
| SSO (Okta, Azure AD, Google) | ✓ | Intégration du fournisseur d'identité d'entreprise - contrôle d'accès centralisé |
| Assistance MFA | ✓ | Authentification multifactorielle pour tous les comptes utilisateurs |
| RBAC (Contrôle d'accès basé sur les rôles) | ✓ | Gestion granulaire des permissions d'administrateur/gestionnaire/utilisateur pour les déploiements d'équipe |
| Domaines en marque blanche | ✓ | Cartes servies depuis votre propre domaine (cards.votreentreprise.com) - sous votre contrôle DNS |
| Journalisation des audits | ✓ | Historique complet des accès : qui a accédé à quoi, quand et depuis quel appareil |
| Sollicitation de destinataires zéro | ✓ | Wave ne contacte jamais les destinataires, ne leur fait jamais de publicité et n'ajoute jamais de marque lorsqu'elle partage des cartes avec eux. |
| Importation en masse de fichiers Excel | ✓ | Déployez des centaines de cartes en toute sécurité sans saisie manuelle de données. |
Les fonctionnalités de sécurité de Wave Connect ont été vérifiées en février 2026. Pour la documentation relative à la sécurité en entreprise, consultez Wave Enterprise .
Quelques points à souligner. La combinaison des normes SOC 2 Type II, RGPD et VPAT couvre les trois principales exigences de conformité dont les équipes d'approvisionnement des entreprises ont besoin : audit de sécurité, confidentialité des données et accessibilité.
L' architecture basée sur navigateur est ce qui distingue véritablement Wave des plateformes de Cartes de visite virtuelles classiques. L'absence d'application native élimine les autorisations requises sur les appareils des employés, les problèmes de gestion des mises à jour et les risques liés au shadow IT. De plus, les domaines en marque blanche garantissent que les URL de vos cartes sont hébergées sur votre propre domaine, sous votre infrastructure de sécurité.
Pourquoi les Cartes de visite virtuelles accessibles via navigateur sont plus sûres
C'est un point que j'aborde toujours dans les discussions sur la sécurité en entreprise, et c'est un point qui ne reçoit pas suffisamment d'attention.
Lorsqu'une plateforme de Cartes de visite virtuelles nécessite une application native, celle-ci doit être installée sur l'appareil de chaque employé. Or, chaque application installée constitue une surface d'attaque.
- Autorisations de l'application : appareil photo, contacts, stockage, parfois localisation. Chacune représente un point d'exposition potentiel des données.
- Gestion des mises à jour : Si le fournisseur de l'application déploie une mise à jour compromise, tous les appareils des employés sont touchés.
- Risque lié à l'informatique parallèle : les employés installent l'application avant que le service informatique n'ait eu l'occasion de la vérifier. Au moment où la sécurité effectue l'examen, des centaines de contacts se trouvent déjà dans un système tiers.
- Gestion des départs : lorsqu’un employé quitte l’entreprise, il est nécessaire de révoquer son accès aux applications indépendamment de son authentification unique. Autre point à ne pas négliger.
L'approche de Wave, axée sur le navigateur, signifie : aucun code exécutable sur l'appareil, aucune autorisation d'application persistante, aucune collecte de données en arrière-plan et aucune gestion pour votre solution MDM. Votre équipe informatique contrôle l'accès via l'authentification unique (SSO) et le contrôle d'accès basé sur les rôles (RBAC) dans le tableau de bord d'administration ; c'est tout.
De plus, grâce aux domaines en marque blanche , vos Cartes de visite virtuelles sont diffusées depuis votre propre domaine (par exemple, cards.votreentreprise.com) et non depuis une URL tierce. Ainsi, le partage de vos cartes reste au sein de votre infrastructure DNS et de sécurité.
Conformité SOC 2 Type II de Wave : quelles conséquences pour votre entreprise ?
Permettez-moi de vous expliquer précisément ce que comprend la suite de conformité de Wave et pourquoi elle va au-delà de ce que proposent la plupart des plateformes de Cartes de visite virtuelles.
SOC 2 Type II + RGPD + accessibilité VPAT. Il ne s'agit pas d'une simple formalité, mais d'une approche de sécurité globale qui couvre :
- Données au repos : chiffrement AES-256 pour toutes les données de contact stockées, les modèles de cartes et les analyses
- Données en transit : TLS 1.3 pour chaque appel API, partage de carte et action d’administration
- Contrôle d'accès : authentification unique (SSO) via Okta, Azure AD et Google Workspace. Contrôle d'accès basé sur les rôles (RBAC) avec des autorisations granulaires pour les administrateurs, les gestionnaires et les utilisateurs.
- Journalisation des accès : historique complet des accès (qui a accédé à quoi, quand et depuis quel appareil).
- Propriété des données : Vos contacts vous appartiennent. Wave ne sollicite, ne commercialise ni ne revend jamais les informations de contact de ses destinataires. Jamais.
Ce dernier point est plus important qu'il n'y paraît. Certaines plateformes de Cartes de visite virtuelles considèrent les destinataires comme leurs propres prospects : elles ajoutent la mention « Propulsé par [Plateforme] » et envoient ensuite des e-mails promotionnels à vos contacts. Du point de vue de la sécurité et de la conformité, il s'agit d'un traitement de données dont votre service juridique devrait être informé.
Wave ne procède pas ainsi. Aucune marque n'apparaît sur les cartes destinées aux destinataires. Vos contacts ne sont jamais sollicités. Vos données restent confidentielles.
Pour les équipes qui évaluent la création de Cartes de visite virtuelles à l'échelle de l'entreprise, la conformité réglementaire est essentielle pour que leur déploiement soit approuvé ou bloqué par le service informatique. Wave est conçu pour faciliter ce processus d'approbation.
En résumé
Voici mon avis sincère. En 2026, la norme SOC 2 Type II constitue le minimum requis, mais elle ne suffit pas à elle seule. Les véritables facteurs de différenciation en matière de sécurité d'entreprise résident dans les éléments complémentaires à la norme SOC 2 : la conformité au RGPD, la certification d'accessibilité VPAT, une architecture éliminant les vecteurs d'attaque via les applications, les domaines en marque blanche pour un contrôle au niveau DNS et l'interdiction de toute sollicitation des destinataires.
Si vous êtes directeur informatique ou RSSI et que vous évaluez un fournisseur de Cartes de visite virtuelles, utilisez la liste de contrôle en 8 points ci-dessus et soumettez-le-lui. Ne vous contentez pas de demander « Êtes-vous conforme à la norme SOC 2 ? » ; interrogez-le sur l’ensemble de votre infrastructure.
Et si vous souhaitez une plateforme déjà conçue pour réussir les audits de sécurité d'entreprise, la plateforme d'entreprise de Wave est spécifiquement conçue pour les organisations où la conformité n'est pas une option.
Foire aux questions
Qu’est-ce que la certification SOC 2 Type II pour les Cartes de visite virtuelles ?
La certification SOC 2 Type II est un audit indépendant qui vérifie que les contrôles de sécurité d'une plateforme ont été opérationnels de manière continue pendant une période de 6 à 12 mois. Elle couvre la sécurité des données, leur disponibilité, l'intégrité du traitement, la confidentialité et la protection de la vie privée.
Wave Connect SOC 2 est-il conforme ?
Oui, Wave Connect est certifié SOC 2 Type II et conforme au RGPD et à la norme d'accessibilité VPAT. Wave utilise également le chiffrement AES-256 pour les données au repos, TLS 1.3 pour les données en transit et prend en charge l'authentification unique (SSO) et l'authentification multifacteur (MFA) pour le contrôle d'accès en entreprise.
Quelles sont les certifications détenues par Wave Connect ?
Wave Connect est certifiée SOC 2 Type II, conforme au RGPD et VPAT. La plateforme propose également une architecture (aucune application requise), des domaines en marque blanche, l'intégration SSO et l'absence de sollicitation des destinataires.
Pourquoi les Cartes de visite virtuelles basées sur un navigateur sont-elles plus sécurisées que celles basées sur une application ?
Les plateformes basées sur un navigateur ne nécessitent pas l'installation d'applications natives, ce qui élimine les autorisations d'application, réduit la surface d'attaque et supprime les risques liés à l'informatique parallèle. Aucun code exécutable n'est présent sur les appareils des employés.
Quelle est la différence entre les SoC 2 de type I et de type II ?
L'audit de type I est une évaluation ponctuelle, tandis que l'audit de type II évalue les contrôles sur une période prolongée (6 à 12 mois). Les services d'approvisionnement des entreprises exigent généralement un audit de type II, car il atteste de la continuité des opérations de sécurité.
Wave Connect prend-il en charge l'authentification unique (SSO) et l'authentification multifacteur (MFA) ?
Oui, Wave prend en charge l'authentification unique (SSO) via Okta, Azure AD et Google Workspace, ainsi que l'authentification multifacteurs pour tous les comptes utilisateurs.
Qu'est-ce qu'un domaine en marque blanche pour les Cartes de visite virtuelles ?
Les domaines en marque blanche vous permettent de diffuser des Cartes de visite virtuelles depuis votre propre URL (par exemple, cards.votresociete.com) au lieu d'un domaine tiers. Ainsi, le partage des cartes reste confiné à votre DNS et à vos contrôles de sécurité.
Wave Connect sollicite-t-elle ou commercialise-t-elle des cartes auprès de leurs détenteurs ?
Non. Wave n'ajoute aucune marque sur les cartes destinées aux destinataires et ne contacte, ne sollicite ni ne fait de marketing auprès des personnes avec lesquelles vous partagez des cartes. Vos contacts restent vos contacts.
Qu’est-ce que la certification d’accessibilité VPAT ?
Le modèle VPAT (Voluntary Product Accessibility Template) documente la conformité d'un produit aux normes d'accessibilité. La certification VPAT de Wave Connect garantit l'accessibilité de ses Cartes de visite virtuelles aux personnes en situation de handicap, un critère de plus en plus important pour la conformité des entreprises.
Comment puis-je évaluer si ma Carte de visite virtuelle actuelle est conforme à la norme SOC 2 ?
Demandez directement au fournisseur son rapport SOC 2 Type II, vérifiez les normes de chiffrement (AES-256, TLS 1.3), confirmez la prise en charge de l'authentification unique (SSO) et de l'authentification multifacteur (MFA), et examinez les autorisations de l'application. Utilisez la liste de contrôle en 8 points de ce guide.
Sécurité de niveau entreprise. Zéro compromis.
Conforme aux normes SOC 2 Type II, RGPD et VPAT. Basé sur navigateur. Aucune autorisation requise pour l'application. Domaines en marque blanche. Conçu pour les équipes informatiques qui ne font aucun compromis sur la conformité.
Explorez les solutions d'entrepriseÀ propos de l'auteur : George El-Hage est le fondateur de Wave Connect, une plateforme de Cartes de visite virtuelles et utilisée par plus de 10 000 équipes dans le monde. Fort de plus de six ans d'expérience dans le déploiement de Cartes de visite virtuelles pour des entreprises des secteurs de la santé, de la finance, du droit et des technologies, George possède une expertise pointue des exigences de sécurité et de conformité essentielles pour les déploiements en entreprise. Wave Connect est certifié SOC 2 Type II, conforme au RGPD et certifié VPAT pour l'accessibilité. La plateforme s'intègre également à Okta, Azure AD, Salesforce, HubSpot et Pipedrive.
