Centre de Confiance
Sécurité
Comment nous protégeons vos données, votre infrastructure et votre entreprise.
Dernière mise à jour: Avril 2026
1. Certifications
Partenaire Stripe
Paiements via Stripe, PCI DSS Niveau 1.
ActiveRGPD
Traitement conforme au RGPD. DPA disponible.
ActiveOWASP
Conformité auto-attestée OWASP Top 10 (2025).
ActiveISO 27001
En préparation.
In Progress2. Données et Confidentialité
Pour les détails complets sur les données collectées, la conservation, vos droits RGPD et nos sous-traitants, consultez notre Politique de Confidentialité.
- PII invités chiffré avec AES-256-GCM
- Journaux d'audit : 12 mois avec suppression automatique
- Tentatives de connexion : 90 jours avec suppression automatique
- Aucune donnée carte stockée — Stripe gère tout
- Pas de cookies de suivi, pas de vente de données
Un Accord de Traitement des Données (DPA) est disponible sur demande.
3. Infrastructure
Hébergée chez des fournisseurs conformes SOC 2 :
| Service | Provider | Detail |
|---|---|---|
| API Backend | Railway | Node.js/Express |
| Base de données | MongoDB Atlas | MongoDB géré avec TLS |
| Site marketing | Netlify | Hébergement statique |
| Paiements | Stripe | PCI DSS Niveau 1 |
| Resend | Email transactionnel | |
| Passerelle IoT | Railway | Intégration Shelly |
Sécurité Réseau
- TLS sur toutes les connexions
- CORS restreint
- CSP configuré
- Limitation de débit sur tous les endpoints
4. Pratiques de Sécurité
Chiffrement
- TLS 1.2+ en transit
- AES-256-GCM au repos
- bcrypt facteur 12
- PBKDF2-SHA256 100k itérations
- Clés API hachées SHA-256
Authentification
- JWT avec tokens de 45 minutes
- Rotation des refresh tokens
- Révocation à la déconnexion
- MFA basé sur TOTP
- Verrouillage après 5 échecs
- Contrôle d'accès par rôles
- Tokens MFA en attente bloqués
Protection des Entrées
- Prévention injection NoSQL
- Requêtes paramétrées
- Payload limité à 10KB
- Complexité de mot de passe
- Validation Content-Type
- Limites de longueur
En-têtes de Sécurité
- HSTS avec preload
- CSP
- X-Frame-Options: DENY
- nosniff
- no-referrer
- Permissions-Policy
- Cache-Control: no-store
Audit
- Journal d'audit complet
- Suivi des tentatives de connexion
- Corrélation X-Request-Id
- Pas de stack traces dans les réponses
5. Conformité OWASP Top 10
Toutes les catégories passent :
| ID | Category | Status |
|---|---|---|
| A01 | Contrôle d'Accès | Passé |
| A02 | Cryptographie | Passé |
| A03 | Injection | Passé |
| A04 | Conception | Passé |
| A05 | Configuration | Passé |
| A06 | Composants | Passé |
| A07 | Authentification | Passé |
| A08 | Intégrité | Passé |
| A09 | Journalisation | Passé |
| A10 | SSRF | Passé |
Tests
- 2 507 tests automatisés
- 37 tests de pénétration OWASP
- 80+ tests manuels trimestriels
- Runbook de réponse aux incidents
Sécurité Continue
- Dependabot
- Audit npm hebdomadaire
- Hooks pre-commit
- 0 vulnérabilités connues
6. Divulgation de Sécurité
Signalez les vulnérabilités de manière responsable :