1. Principes de securite
Nous considerons la protection des comptes, des assets et des flux de paiement comme une exigence centrale du produit.
- Confidentialite
- Integrite
- Disponibilite
- Revision continue des pratiques
2. Authentification et acces
Les sessions sont limitees dans le temps et les donnees utilisateur restent reservees aux acces authentifies. Les surfaces d'administration sont separees du parcours public.
- Sessions limitees
- Acces authentifie requis
- Administration protegee
- Surfaces privees non indexees
3. Traitements sensibles cote serveur
Les appels modeles, calculs de credits, creation de commandes, confirmations de paiement et webhooks sont traites cote serveur afin de ne pas exposer de secrets dans le navigateur.
- Pas de secret dans le navigateur
- Verification server-side
- Calcul des credits cote serveur
- Traitement webhook serveur
4. Protection des assets et traces
Les images televersees, historiques de generation et donnees de paiement sont stockes sous controle d'acces avec des journaux minimaux mais suffisants pour l'investigation et la detection d'abus.
- Assets proteges
- Historique des generations
- Journaux minimaux
- Traçabilite operationnelle
5. Paiements et webhooks
La validation des paiements ne depend pas uniquement du retour front-end. Nous utilisons aussi les confirmations serveur et les webhooks pour reduire les incoherences d'etat, avec possibilite de correction operationnelle si necessaire.
- Verification cote serveur
- Synchronisation webhook
- Correction manuelle possible
- Moins de dependance au front-end
6. Signalement des vulnerabilites
Si vous identifiez une faiblesse de securite potentielle, contactez-nous via le support integre. Nous encourageons un signalement responsable avec suffisamment d'elements de reproduction.
- Signalement via le support
- Details de reproduction utiles
- Divulgation responsable
- Investigation dans un delai raisonnable