Sécurité

Dernière mise à jour : 12 June 2026

FastFaktura applique des mesures techniques et organisationnelles proportionnées au niveau de risque, conformément à l'article 32 du RGPD. Cette page récapitule les principales pratiques en vigueur ; elle est mise à jour à chaque évolution majeure.

1. Hébergement et isolation

L'infrastructure est hébergée chez Vultr Holdings LLC dans la zone Stockholm (Suède, Union européenne). Les données applicatives sont stockées dans une base PostgreSQL exclusivement accessible depuis le réseau privé du serveur, sans port public exposé.

2. Chiffrement

Le trafic public est servi exclusivement en HTTPS (TLS 1.2 minimum) via Let's Encrypt, avec en-tête HSTS preload activé. Les clés API sensibles (Stripe, providers SMS) sont chiffrées au repos en AES-256-GCM avec une clé maître stockée hors base. Les sauvegardes sont chiffrées.

3. Authentification et accès

L'accès aux comptes utilisateurs est protégé par OTP email (code à 6 chiffres, 10 minutes de validité, 5 tentatives maximum). La console d'administration est protégée par identifiant + mot de passe, rate-limit IP, vérification d'origine pour empêcher le CSRF, et option TOTP (RFC 6238) pour une authentification à deux facteurs.

4. Surveillance et journaux

Tous les accès aux endpoints sensibles, les actions admin, les envois email/SMS et les paiements sont journalisés avec horodatage. Une politique de rétention automatisée purge les journaux selon une durée proportionnée (6 à 36 mois selon la nature) afin de respecter le principe de limitation du RGPD.

5. Sauvegardes et continuité

Les bases de données font l'objet de sauvegardes quotidiennes. Les sauvegardes sont conservées hors site. Un plan de reprise est documenté en interne ; le RPO cible est de 24 heures, le RTO cible de 4 heures.

6. Tête de lecture des correctifs

Les dépendances logicielles sont surveillées via npm audit et GitHub Dependabot. Les vulnérabilités critiques sont traitées sous 7 jours, les vulnérabilités élevées sous 30 jours.

7. Divulgation responsable

Si vous découvrez une faille, merci de nous la signaler conformément à notre fichier /.well-known/security.txt (RFC 9116). Nous nous engageons à accuser réception sous 5 jours ouvrés et à ne pas engager de poursuites contre les chercheurs respectant des règles raisonnables.

8. Coordonnées

Toute question relative à la sécurité peut être adressée à privacy@fastfaktura.io.