Snapshot compliance
État d’avancement de Nex sur les principaux cadres réglementaires et de sécurité applicables ou visés. Cette page est régénérée lors de chaque revue trimestrielle.
Lecture rapide pour auditeurs externes : cette page liste où Nex en est sur chaque cadre, avec un lien vers les évidences ou les documents structurants. Pour le détail, consulter la section Compliance.
Cadres réglementaires CEMAC / régionaux
| Cadre | Statut | Évidence / lien |
|---|---|---|
| Agrément BEAC / COBAC (EME) | À documenter | (à venir : /compliance/beac-cobac-mapping) |
| AML / CFT (GABAC) | À documenter | (à venir : /compliance/aml-cft-program) |
| Loi camerounaise 2010/012 (cybersécurité) | À documenter | (à venir : /compliance/data-protection) |
| Cantonnement des fonds clients | À documenter | (à venir : /compliance/customer-funds-safeguarding) |
| Reporting BEAC | À documenter | (à venir) |
Cadres internationaux et industriels
| Cadre | Cible | Statut | Évidence / lien |
|---|---|---|---|
| ISO 27001:2022 | Statement of Applicability | À démarrer (gap analysis) | (à venir : /compliance/iso-27001-soa) |
| SOC 2 Type II | Trust Services Criteria | À évaluer | (à venir : /compliance/soc2-controls) |
| PCI-DSS v4.0 | Si scope card | À évaluer | (à venir : /compliance/pci-dss-scope) |
| RGPD | Pour data EU | À documenter | (à venir : /compliance/data-protection) |
| OWASP ASVS 4.0 | Niveau 2 (fintech) | Non évalué | (à venir : /security/secure-sdlc) |
| OWASP MASVS | Niveau L2 mobile | Non évalué | (à venir : /security/mobile-security) |
Audits internes
| Audit | Date | Résultat | Document |
|---|---|---|---|
| Ledger Wallets — immutabilité, SoD, double-entry, cantonnement | 2026-04 | 5 dettes ouvertes (NEX-331 à -334) | /compliance/audit-2026-ledger-wallets |
Pentests et audits cybersec externes
Aucun pentest externe documenté à ce jour. Cible : commander un premier pentest annuel à partir de Q3 2026.
Roadmap de mise en conformité
- Court terme (Q2 2026) : SoA ISO 27001 gap analysis, IRP, ISP, AML/CFT program.
- Moyen terme (Q3-Q4 2026) : premier pentest externe, mapping PCI-DSS (selon scope card), DPIA risk-engine.
- Long terme : certification ISO 27001, audit SOC 2 Type II.
Vendor risk
| Vendor | Catégorie | Risque | Évaluation |
|---|---|---|---|
| AWS (EKS, RDS, S3) | Hébergement | Critique | À documenter |
| Cloudflare | Edge, CDN, WAF | Critique | À documenter |
| Doppler | Secrets management | Critique | À documenter |
| Firebase Auth | Auth provider | Élevé | À documenter |
| Providers Mobile Money | Intégration paiement | Critique | À documenter |
| GitLab.com / Self-hosted | Code, CI/CD | Élevé | À documenter |
(à venir : /compliance/third-party-vendors)