Sécurité des données
La plateforme combine authentification, isolement des espaces (cabinet, administration, contacts externes) et contrôles sur les contenus pour limiter les abus. Cette page résume les mesures techniques et organisationnelles majeures disponibles dans le produit.
1) Contrôle d'accès et séparation des espaces
- Authentification des utilisateurs pour l'espace cabinet avec gestion des rôles et états de compte.
- Espace administration FactSecure distinct, protégé par des contrôles dédiés.
- Session d'administration protégée par un jeton signé et expirant, afin de limiter les risques de falsification de cookie.
- Isolation par organisation pour limiter l'accès aux données du seul cabinet concerné.
- Les messages issus du formulaire public sont stockés dans un modèle dédié, séparés des données des cabinets enregistrés, pour éviter toute confusion entre contact externe et compte cabinet.
2) Protection des échanges et des secrets
- Chiffrement en transit (HTTPS) attendu sur les environnements de production.
- Utilisation de variables d'environnement pour les secrets applicatifs et les clés sensibles.
- Mots de passe stockés sous forme dérivée (hachage) et non en clair.
3) Intégrité documentaire et traçabilité
Les factures et duplicatas s'appuient sur des mécanismes d'intégrité (empreinte SHA-256, code de vérification, QR public) pour détecter une altération. Un journal d'audit enregistre les opérations importantes (émission, consultation de vérification, actions métier) selon le périmètre fonctionnel activé.
4) Pièces jointes, entrées utilisateur et anti-abus
Les pièces jointes du module messagerie sont filtrées par type et taille selon les règles métier du produit. Une vérification complémentaire de la signature binaire des fichiers (validation de format effectif) est appliquée côté serveur avant enregistrement. Certaines données de configuration (ex. personnalisation PDF) peuvent être stockées de manière chiffrée côté serveur.
Les formulaires publics sont protégés contre les abus par plusieurs couches (contrôle anti-robot, limitations de fréquence, validation stricte des champs). Les points d'entrée publics sensibles (notamment vérification et génération QR) sont soumis à des mécanismes de limitation de requêtes.
5) Protection HTTP et amélioration continue
La plateforme applique des en-têtes de sécurité HTTP (dont protection anti-clickjacking, contrôle du type de contenu, politique de referrer et transport sécurisé en production) afin de réduire l'exposition à certaines classes d'attaques web.
Aucun système n'offre une sécurité absolue. FactSecure fait évoluer ses protections en continu en fonction des usages, des retours terrain et des bonnes pratiques de sécurité logicielle.
Pour les aspects juridiques associés, consultez aussi Protection des données personnelles.