Charte de sécurité

Version 2026-05-11 — Mesures techniques & organisationnelles (art. 33 loi NC)

DAP98 met en œuvre des mesures de sécurité techniques et organisationnelles proportionnées aux risques liés au traitement de vos données personnelles, conformément à l'article 33 de la loi du pays NC et à l'article 32 du RGPD.

✓ Engagement. Aucun système n'est invulnérable, mais DAP98 s'engage à appliquer les meilleures pratiques de l'industrie et à corriger sans délai toute vulnérabilité identifiée.

Vue d'ensemble

🔐

Chiffrement

TLS 1.2/1.3 en transit, AES-256 au repos sur tous les hébergeurs

🛡️

Authentification

Firebase Auth, mots de passe bcrypt + sel, 2FA admin

🔥

Pare-feu & WAF

Hostinger WAF, headers de sécurité HTTP stricts

🎯

Règles Firestore

Isolation utilisateur stricte, rôles admin server-side

📋

Journal d'audit

Toutes actions admin tracées avec horodatage et acteur

💾

Sauvegardes

Backups Dolibarr quotidiens, chiffrés, zone privée

🚨

Détection abus

Limitation IP 3 recherches/24h, journalisation

💳

PCI-DSS

Aucune carte stockée — délégation totale à Stripe (niveau 1)

1. Sécurité du transport

HTTPS obligatoire sur tout le site, redirection 301 automatique HTTP→HTTPS ;
TLS 1.2 minimum, support TLS 1.3 préféré ;
HSTS activé : Strict-Transport-Security: max-age=31536000; includeSubDomains — empêche les attaques de type SSL-stripping pour 1 an ;
Certificat SSL/TLS Let's Encrypt renouvelé automatiquement par Hostinger.

2. Stockage chiffré au repos

Google Firestore : chiffrement AES-256 transparent (Google Cloud KMS) ;
Firebase Storage : photos chiffrées AES-256 ;
Hostinger MySQL (Dolibarr) : chiffrement disque par défaut ;
Mots de passe : jamais en clair, hachés bcrypt avec sel propre par Firebase Auth ; pas même DAP98 n'y a accès ;
Backups SQL Dolibarr : stockés dans une zone /private/ non accessible HTTP, en dehors du document-root web.

3. Authentification & gestion des sessions

Firebase Authentication avec support :
- Email + mot de passe (longueur minimum 6 caractères, recommandé 12+)
- Connexion sociale Google, Facebook, Microsoft (OAuth 2.0 / OIDC)
Tokens JWT à courte durée de vie (1h) renouvelés automatiquement via refresh-token (30j) ;
2FA (double facteur) activé sur tous les comptes administrateurs via leur compte Google ;
Réinitialisation de mot de passe par lien email signé (cryptographiquement) à expiration courte ;
Détection de connexions suspectes par Firebase (alerte Google si appareil/localisation inhabituels).

4. Sécurité applicative

4.1 Règles Firestore strictes

Les règles de sécurité Firestore refusent par défaut tout accès, et n'accordent que les permissions strictement nécessaires :

un utilisateur ne peut lire/modifier que ses propres documents (vérification request.auth.uid == resource.data.userId) ;
les actions à privilèges (lecture cross-user, suppression admin, modification rôles) passent obligatoirement par le proxy serveur avec authentification renforcée ;
les rôles administrateurs sont stockés côté serveur uniquement, jamais dans les claims modifiables côté client.

4.2 Headers de sécurité HTTP

Header	Valeur	Protection
`Content-Security-Policy`	Allowlist stricte	Injection JS / XSS
`Strict-Transport-Security`	max-age=31536000; includeSubDomains	SSL stripping
`X-Frame-Options`	SAMEORIGIN	Clickjacking
`X-Content-Type-Options`	nosniff	MIME sniffing
`Referrer-Policy`	strict-origin-when-cross-origin	Fuite de Referer
`Permissions-Policy`	geolocation=(self), camera=(), microphone=()	Accès capteurs

4.3 Protection anti-abus

Rate-limiting sur recherche plaque pour utilisateurs anonymes (3 / 24h / IP) ;
Bannissement automatique des comptes abusifs (recherches sans devis, scraping détecté) ;
Validation côté serveur de toutes les entrées utilisateur ; pas de confiance dans les paramètres client ;
Échappement systématique des sorties HTML (anti-XSS).

4.4 Sécurité des fichiers serveurs

config.php, .htaccess, fichiers privés : 403 Forbidden en accès direct ;
Clé service-account Firebase : stockée hors document-root, lue seulement par PHP ;
Pas de fichier .git, .env, composer.json exposé publiquement ;
Endpoints d'administration one-shot : désactivés au repos (if(false && ...)) pour réduire la surface d'attaque.

5. Sécurité des paiements

Aucune donnée bancaire (n° de carte, CVV, date d'expiration) n'est saisie sur dap98.com ;
Toute saisie carte se fait sur la page hébergée Stripe Checkout (domaine stripe.com), certifiée PCI-DSS niveau 1 ;
DAP98 reçoit uniquement un identifiant de transaction et un statut (succès/échec) ;
Les webhooks Stripe sont signés cryptographiquement et vérifiés serveur-side avant traitement.

6. Mesures organisationnelles

Accès administrateur restreint à un nombre limité de personnes habilitées et identifiées ;
Principe du moindre privilège : chaque compte n'a que les droits strictement nécessaires à son rôle ;
Mots de passe forts obligatoires pour les comptes admin (gestionnaire de mots de passe recommandé) ;
Pas de mot de passe partagé entre comptes ou entre personnes ;
Journalisation complète des actions admin : qui, quoi, quand, depuis quelle IP ;
Sensibilisation régulière de l'équipe aux risques : phishing, ingénierie sociale, fuites de credentials.

7. Surveillance & sauvegardes

Logs serveur conservés et analysés ;
Backups Dolibarr sauvegardés régulièrement, chiffrés, hors document-root ;
Sauvegardes Firebase assurées par Google (réplication multi-zone, point-in-time recovery jusqu'à 7 jours) ;
Surveillance des temps de réponse et anomalies via tableau de bord Firebase / Hostinger.

8. Gestion des incidents de sécurité

En cas d'incident susceptible d'affecter vos données :

Détection & confinement immédiat de l'incident ;
Notification CNIL sous 72 heures si risque pour vos droits et libertés (art. 33 RGPD adapté NC) ;
Information directe des utilisateurs concernés par email si risque élevé (art. 34) ;
Analyse de cause racine et mesures correctives ;
Documentation interne pérenne pour audit.

9. Signaler une vulnérabilité (responsible disclosure)

Si vous découvrez une faille de sécurité, merci de nous la signaler de manière responsable :

📧 Email : contact@deep-com.com (sujet : "Signalement de vulnérabilité")
📱 DPO : KBDev — noumeacomputer@gmail.com · +687 78 07 32

Nous nous engageons à :

Accuser réception sous 48 heures ;
Évaluer et corriger la vulnérabilité dans les meilleurs délais ;
Vous tenir informé(e) de la progression ;
Ne pas engager de poursuites contre tout chercheur agissant de bonne foi (test non destructif, sans exfiltration de données utilisateur réelles, sans déni de service).

10. Certifications & conformité des sous-traitants

Sous-traitant	Certifications
Google Cloud / Firebase	ISO/IEC 27001, 27017, 27018 · SOC 1/2/3 · PCI-DSS · HIPAA · Data Privacy Framework UE-USA
Hostinger	ISO/IEC 27001 · Datacenters Tier IV · Conformité RGPD UE
Stripe	PCI-DSS Service Provider Level 1 · ISO 27001 · SOC 1/2
Meta Platforms Ireland	ISO 27001 · SOC 2 · Data Privacy Framework UE-USA

11. Audits internes

Un audit interne complet de l'infrastructure est mené à intervalles réguliers, portant sur :

la validité du chiffrement TLS et des certificats ;
l'exposition de fichiers sensibles (config.php, .htaccess, etc.) ;
l'efficacité des règles Firestore ;
la rotation des secrets et la rotation des comptes ;
les headers de sécurité HTTP ;
la désactivation des endpoints administratifs one-shot.

Le rapport du dernier audit (mai 2026) atteste de la conformité à l'ensemble des points ci-dessus. Note globale : 🟢 Production Ready — Niveau Senior.

Contact

DISCOUNT IMPORT SARL · RIDET 1 667 146.001
Email : contact@deep-com.com
DPO : KBDev · noumeacomputer@gmail.com · +687 78 07 32

Version 2026-05-11 · DISCOUNT IMPORT SARL — RIDET 1 667 146.001