asso.tn

Conformité et sécurité

asso.tn opère dans un cadre strict : zéro transit de fonds (BCT), protection des données conforme à la loi tunisienne 2004-63, sécurité applicative auditée et hébergement souverain. Cette page documente nos engagements concrets.

Nos quatre piliers

Une architecture pensée dès l'origine pour la confiance et la traçabilité.

Conformité BCT

Aucun transit de fonds. Les paiements transitent directement entre le donateur et le compte bancaire de l'association via la SMT et les wallets agréés.

Loi 2004-63

Protection des données personnelles tunisienne : consentement explicite, finalité limitée, droits d'accès, rectification, effacement et opposition.

Sécurité applicative

TLS 1.3, chiffrement AES-256 au repos, durcissement OWASP Top 10, audits réguliers et pen test annuel par un tiers indépendant.

Hébergement souverain

Données hébergées en Tunisie ou dans l'Union Européenne uniquement. Aucun transfert hors de ces juridictions sans consentement explicite.

Mesures techniques

Une défense en profondeur appliquée à chaque couche de l'application — transport, stockage, code et exploitation.

TLS 1.3 partout

HTTPS forcé en production, certificats renouvelés automatiquement, HSTS activé. Aucun flux applicatif en clair.

AES-256 au repos

Chiffrement des bases de données et des secrets (credentials passerelles, tokens) au repos. Clés tournées et stockées hors du code applicatif.

OWASP Top 10

Audits statiques et dynamiques continus, en-têtes de sécurité durcis (CSP, X-Frame-Options), validation systématique des entrées, audit log des actions sensibles.

Pen test annuel

Test d'intrusion réalisé chaque année par un cabinet indépendant. Résultats disponibles sur demande pour les associations partenaires.

Notre engagement BCT en détail

asso.tn n'est pas un établissement de paiement au sens de la réglementation de la Banque Centrale de Tunisie. Concrètement :

  • Zéro transit de fonds : aucune somme d'argent ne passe par nos serveurs ou nos comptes. Nous sommes un orchestrateur logiciel.
  • SMT (Société Monétique Tunisie) : les paiements par carte bancaire transitent par la passerelle SMT directement vers le compte de l'association.
  • Wallets agréés BCT : intégrations avec les wallets autorisés (e-Dinar, D17, BIAT, BNA, Flouci) — chaque don est un flux direct entre wallet et compte associatif.
  • Traçabilité : chaque transaction est journalisée (référence unique, montant, statut, horodatage) pour répondre aux exigences d'audit fiscal et comptable.

Protection des données personnelles

Nous nous conformons à la loi tunisienne n° 2004-63 du 27 juillet 2004 relative à la protection des données à caractère personnel. Les données collectées (nom, email, téléphone des donateurs) servent exclusivement à la finalité du don : émission du reçu fiscal, communication associative consentie, audit comptable.

Durée de conservation

Données donateurs conservées pendant la durée légale de conservation comptable (10 ans pour les pièces justificatives fiscales). Données de compte associatif conservées tant que le compte est actif, puis archivées 3 ans après résiliation pour des raisons de conformité.

Vos droits

  • Droit d'accès à vos données
  • Droit de rectification des données inexactes
  • Droit à l'effacement (sous réserve des obligations légales)
  • Droit à la portabilité (export de vos données)
  • Droit d'opposition au traitement
  • Droit de retirer votre consentement à tout moment

Pour exercer vos droits, contactez-nous. Réponse sous 30 jours maximum.

Une question sur nos engagements ou besoin d'une attestation de conformité pour votre dossier ?

Nous contacterLire les CGU