01
Chiffrement en transit
TLS 1.3 obligatoire, certificats ECDSA P-256, HSTS preload, perfect forward secrecy. Note SSL Labs cible A+. CT logs monitorés en continu ; HPKP déprécié et retiré.
La sécurité n'est pas une feature. C'est la première décision d'architecture — celle qui dicte ce que Setlix peut, et surtout ce que Setlix ne touche jamais.
TLS 1.3 obligatoire, certificats ECDSA P-256, HSTS preload, perfect forward secrecy. Note SSL Labs cible A+. CT logs monitorés en continu ; HPKP déprécié et retiré.
PostgreSQL chiffré AES-256-GCM via AWS KMS. S3 chiffré par défaut, clés gérées par KMS dans la région de stockage. Aucun stockage de PAN, CVV ni track data — par construction.
Rotation des secrets gérée par AWS Secrets Manager, rotation automatique à 90 jours. Aucun secret en clair dans le code, le CI ou les variables d'environnement.
VPC privé sur AWS eu-west-3 (Paris), sous-réseaux segmentés (front, app, data), security groups par défaut « deny all ». Edge Cloudflare avec WAF managé et challenge anti-bot. Pas d'accès SSH ouvert sur internet — bastion temporaire via SSO, expiration 1 h.
MFA TOTP obligatoire pour toute l'équipe (Google Workspace, Tailscale, AWS SSO). Accès production limité à quatre ingénieurs nominativement listés, révision trimestrielle. RBAC granulaire côté client. SCIM disponible pour les plans entreprise (Okta, Azure AD).
Logs structurés JSON expédiés en temps réel vers un cluster OpenSearch séparé. Conservation 12 mois. Alertes Pagerduty 24 / 7 sur événements critiques. Détection de prise de contrôle par modèle ML simple (impossible travel, user-agent inhabituel).
Programme privé ouvert sur invitation au second semestre 2026. Récompenses cibles 100 € – 5 000 € selon sévérité (CVSS v3.1). Divulgation responsable : accusé de réception sous 24 heures ouvrées, correctif sous 30 jours pour les vulnérabilités critiques.
Astreinte 24 / 7 en rotation hebdomadaire. Runbook documenté par type d'incident, exercice trimestriel. Notification client sans délai indu — objectif < 6 h — conformément à l'article 33 RGPD. Post-mortem public sur la page statut sous 5 jours ouvrés.
Hérité par construction. Les données de carte sont saisies via Stripe Elements et ne traversent jamais nos serveurs. Setlix ne reçoit que des tokens Stripe inutilisables hors plateforme.
En vigueurSous-traitant des marchands pour les données des clients finaux, responsable de traitement pour le profil marchand. DPA et clauses contractuelles types Modules 2/3 disponibles sur demande.
En vigueurInfrastructure principale AWS eu-west-3 (Paris). Sauvegardes chiffrées chez OVHcloud (Roubaix). Aucune réplication hors UE pour les données opérationnelles Setlix.
En vigueurNon audité à ce jour. Cible : audit complété dans les 12 mois suivant la sortie de la beta publique. Cap honnête : les contrôles sont opérationnels, l'audit indépendant ne l'est pas encore.
En cours · 2026 — 2027Audit Type II sur fenêtre glissante de 12 mois, démarré dès Type I obtenu. Rapport partageable aux clients sous NDA via le portail conformité.
Planifié · 2027Système de management de la sécurité de l'information en cours de cadrage. Aucune date d'audit publiée à ce stade — nous préférons annoncer après lancement plutôt que des badges anticipés.
En cadrageExtrait du flux d'audit production Setlix. Tout événement d'authentification, d'accès à une ressource sensible ou de modification de configuration est journalisé en temps réel, expédié vers un cluster OpenSearch séparé et conservé douze mois. Données anonymisées.
Si vous découvrez une vulnérabilité, écrivez à contact@setlix.app avec l'objet « Security ». Nous accusons réception sous 24 heures ouvrées et publions un correctif sous 30 jours pour les vulnérabilités critiques. Pas de divulgation publique avant accord mutuel. Nous ne poursuivrons aucun chercheur agissant de bonne foi conformément à cette procédure.
Une clé PGP sera publiée prochainement pour les rapports sensibles. SETLIX SAS — Équipe sécurité, 47 rue Vivienne, 75002 Paris, France.