Attestation éditeur — Conformité anti-fraude TVA

La présente attestation est délivrée par :

• Dénomination : KRYVA (entreprise individuelle)
• Éditeur : Sacha RUER
• Adresse : 59 rue des Muscats, 11510 Caves, France
• SIRET : [à compléter]
• Email : [email protected]
• Site : https://kryva.fr

Ci-après dénommée « l'Éditeur ».

Conformément à l'article 286-I-3 bis du Code général des impôts (CGI), introduit par l'article 88 de la loi n° 2015-1785 du 29 décembre 2015 (LFR 2015) et précisé par le BOI-TVA-DECLA-30-10-30, tout assujetti à la TVA qui enregistre les règlements de ses clients au moyen d'un logiciel de comptabilité, de gestion ou d'un système de caisse doit utiliser un logiciel ou système satisfaisant à des conditions d'inaltérabilité, de sécurisation, de conservation et d'archivage des données.

La présente attestation individuelle justifie de la conformité du logiciel KRYVA à ces conditions. Elle est délivrée à tout client assujetti à la TVA qui en fait la demande et peut être présentée à l'administration fiscale en cas de contrôle (art. L. 80 O du livre des procédures fiscales).

• Dénomination du logiciel : KRYVA
• Version : 1.x (SaaS — dernière version toujours déployée en production)
• Nature : logiciel de gestion (devis, facturation, gestion clients, suivi de trésorerie) à destination des TPE et artisans du BTP
• Mode d'exploitation : Software as a Service (SaaS), hébergé sur infrastructure Union européenne (Supabase eu-west-1 / Dublin, Vercel Frankfurt)
• URL d'accès : https://kryva.fr

Le logiciel n'est pas un système de caisse enregistreuse au sens strict mais relève bien du champ d'application de l'article 286-I-3 bis CGI en tant que logiciel de gestion enregistrant les règlements clients.

L'Éditeur atteste que le logiciel KRYVA garantit l'inaltérabilité des données de règlement enregistrées par les moyens techniques suivants :

• Numérotation séquentielle atomique des factures sans rupture ni doublon (verrou applicatif transactionnel en base PostgreSQL, séquence invoice_number_seq par organisation).
• Scellement cryptographique SHA-256 chaîné : chaque facture validée est scellée par un hash SHA-256 intégrant le hash de la facture précédente, formant une chaîne infalsifiable dite « chaînage de Merkle ». Toute modification rétroactive casse la chaîne et est détectable.
• Journal d'événements inaltérable (invoice_audit_log) horodaté côté serveur avec signature cryptographique, enregistrant toute opération sensible (création, validation, modification, annulation, remboursement).
• Immuabilité post-validation : une fois une facture validée (statut issued), aucune modification directe n'est autorisée ; seule l'émission d'une facture d'avoir (credit_note) référencée permet la correction, conformément au BOI-TVA-DECLA-30-20-10.

L'Éditeur atteste que le logiciel KRYVA garantit la sécurisation des données par les mesures techniques et organisationnelles suivantes :

• Authentification forte : WebAuthn/Passkey obligatoire, Supabase Auth avec sessions chiffrées, protection CSRF et XSS.
• Chiffrement en transit : TLS 1.3 obligatoire sur toutes les communications (HSTS activé).
• Chiffrement au repos : PostgreSQL Supabase avec chiffrement AES-256 des volumes, secrets gérés via Vercel Environment Variables chiffrés.
• Contrôle d'accès : Row-Level Security (RLS) PostgreSQL — chaque utilisateur n'accède qu'aux données de son organisation ; aucune fuite possible entre tenants.
• Rate limiting production via Upstash Redis sur toutes les routes sensibles (fail-secure : blocage en cas d'indisponibilité).
• Monitoring de sécurité via Sentry avec scrubbing automatique des PII (emails, SIRET, IBAN, téléphones, tokens) avant envoi.
• Sauvegardes chiffrées automatiques quotidiennes (PITR Supabase 7 jours, snapshots hebdomadaires).

L'Éditeur atteste que le logiciel KRYVA garantit la conservation des données conformément aux obligations légales :

• Durée de conservation : 10 ans à compter de la clôture de l'exercice (art. L. 102 B du livre des procédures fiscales et art. L. 123-22 du Code de commerce) pour les factures, livres et pièces justificatives.
• Données concernées : factures émises, avoirs, règlements encaissés, journal d'événements, tableau récapitulatif de TVA.
• Format de conservation : données relationnelles PostgreSQL (JSON pour les snapshots PDF), immuables post-validation grâce au scellement SHA-256 chaîné.
• Intégrité : la chaîne de scellement permet à tout moment de vérifier qu'aucune donnée n'a été supprimée, modifiée ou insérée a posteriori.

L'Éditeur atteste que le logiciel KRYVA garantit l'archivage des données par les dispositifs suivants :

• Archivage périodique automatique : clôtures fiscales trimestrielles et annuelles scellées avec hash SHA-256 incluant la totalité des factures de la période.
• Export pérenne : le client peut à tout moment exporter l'intégralité de ses données au format FEC (Fichier des Écritures Comptables) conforme à l'arrêté du 29 juillet 2013 et au BOI-CF-IOR-60-40-20, ainsi qu'au format Factur-X / EN 16931 pour les factures.
• Horodatage sécurisé côté serveur (UTC, source NTP synchronisée) pour chaque événement.
• Accessibilité : les archives restent accessibles pendant toute la durée légale via l'interface KRYVA ainsi qu'après résiliation du contrat (période de conservation de 10 ans garantie, même après désabonnement, conformément aux CGV art. 12).

La présente attestation :

• porte uniquement sur la version du logiciel KRYVA en vigueur à la date indiquée ci-dessous ;
• ne dispense pas le Client assujetti de ses propres obligations déclaratives et de ses responsabilités fiscales ;
• ne constitue pas une certification NF525 ou LNE mais une attestation individuelle d'éditeur, juridiquement équivalente au regard de l'article 286-I-3 bis CGI (BOI-TVA-DECLA-30-10-30 §40) ;
• doit être conservée par le Client pendant toute la durée d'utilisation du logiciel et les 10 ans suivants, à fins de présentation à l'administration fiscale.

L'Éditeur s'engage à délivrer une nouvelle attestation à chaque modification substantielle du logiciel affectant les conditions d'inaltérabilité, de sécurisation, de conservation ou d'archivage.

Le défaut d'utilisation d'un logiciel satisfaisant aux conditions précitées, ou le défaut de présentation de la présente attestation en cas de contrôle, est passible d'une amende de 7 500 € par logiciel concerné (art. 1770 duodecies du CGI), le contribuable disposant de 60 jours pour se mettre en conformité.

L'Éditeur déclare s'exposer aux mêmes sanctions s'il délivrait une attestation mensongère ou dissimulait une non-conformité (art. 1743 CGI — peines complémentaires possibles).

Je soussigné Sacha RUER, éditeur du logiciel KRYVA, atteste sur l'honneur que le logiciel KRYVA, dans sa version en production à la date de la dernière mise à jour ci-dessous, satisfait aux conditions d'inaltérabilité, de sécurisation, de conservation et d'archivage des données prévues par l'article 286-I-3 bis du Code général des impôts et précisées par le BOI-TVA-DECLA-30-10-30.

La présente attestation est délivrée pour faire valoir ce que de droit, sur simple demande écrite adressée à [email protected], à tout client utilisateur du logiciel KRYVA assujetti à la TVA en France.

Fait à Caves, le jour de la dernière mise à jour ci-dessous.

*Sacha RUER — Éditeur de KRYVA*