Politique de Sécurité
Dernière mise à jour : 18 janvier 2026
1Notre engagement sécurité
Chez Factur-X Convert, la sécurité de vos données est notre priorité absolue. Nous mettons en œuvre des mesures techniques et organisationnelles robustes pour protéger vos informations contre tout accès non autorisé, modification, divulgation ou destruction.
Certification et conformité
2Protection des données
2.1 Chiffrement
TLS 1.3
Chiffrement en transit via HTTPS/TLS 1.3 avec certificats SSL
AES-256
Chiffrement au repos pour tous vos fichiers PDF et bases de données
bcrypt
Mots de passe hashés avec facteur de coût élevé
2.2 Accès aux données
- Moindre privilège : Permissions limitées au strict nécessaire
- MFA obligatoire : Pour tous les accès administratifs
- Logs d'audit : Traçabilité complète des accès
- Révocation auto : Désactivation immédiate
3Infrastructure sécurisée
3.1 Architecture
Pare-feu applicatif (WAF)
Protection contre injection SQL, XSS, CSRF
Isolation réseau
Segmentation via VPC et sous-réseaux privés
Détection d'intrusion (IDS/IPS)
Monitoring en temps réel 24/7
Mises à jour automatiques
Patches de sécurité appliqués automatiquement
3.2 Sauvegardes
Quotidiennes
Tous les fichiers et BDD
Rétention 180 jours
Historique complet
Géo-réplication
Multi-datacenters EU
Tests mensuels
Restauration validée
4Authentification et contrôle d'accès
4.1 Authentification forte
Mots de passe sécurisés : 8+ caractères, complexité imposée
OAuth 2.0 : Connexion Google (recommandé)
Tokens JWT : Sessions sécurisées (7 jours)
Déconnexion auto : Après 30 min d'inactivité
4.2 Protection contre attaques
Rate limiting
Anti force brute
CAPTCHA
Anti-bots
Détection anomalies
Alertes automatiques
Blocage IP
Ban auto malveillants
5Traitement des fichiers
5.1 Isolation
Chaque fichier téléchargé est traité dans un environnement isolé (sandbox) pour prévenir toute exécution de code malveillant.
5.2 Analyse sécurité
- Vérification type MIME (PDF uniquement)
- Validation structure PDF
- Limitation 10 Mo max
- Scan antivirus systématique
5.3 Conservation
Suppression automatique après 180 jours. Vous pouvez supprimer vos fichiers manuellement à tout moment.
6Gestion des incidents
6.1 Plan de réponse
Détection
Monitoring 24/7 et alertes auto
Isolation
Confinement immédiat
Investigation
Analyse forensique
Remédiation
Correction et restauration
Notification
Information sous 72h (RGPD)
Post-mortem
Amélioration continue
6.2 Notification
En cas de violation RGPD, notification sous 72 heures par :
7Conformité et audits
7.1 Audits réguliers
Audits internes
Trimestriels
Tests pénétration
Annuels (experts externes)
Revue de code
Automatique + manuelle
Scan vulnérabilités
Hebdomadaire
7.2 Normes appliquées
RGPD
Conformité totale
ISO 27001
Bonnes pratiques
OWASP Top 10
Protection complète
PCI DSS
Via Stripe
8Vos responsabilités
La sécurité est une responsabilité partagée :
- Choisir un mot de passe fort et unique
- Ne jamais partager vos identifiants
- Utiliser OAuth Google (recommandé)
- Vous déconnecter sur appareil partagé
- Maintenir vos appareils à jour
- Vérifier régulièrement l'activité
- Signaler toute activité suspecte
9Signaler une vulnérabilité
Nous encourageons la divulgation responsable. Si vous découvrez une faille, signalez-la immédiatement.
Programme de divulgation responsable
Contactez : security@pont-facturx.com
Réponse sous 48h • Correction vulnérabilités critiques sous 7 jours • Pas de poursuites pour chercheurs de bonne foi
10Transparence
Rapport annuel détaillant :
- Nombre d'incidents de sécurité
- Demandes d'accès par autorités
- Temps d'indisponibilité
- Améliorations apportées