La sécurité chez InvoicePeppol

Nous prenons la sécurité de vos données de facturation très au sérieux. Voici comment nous protégeons vos informations.

Aucune conservation de données

Les fichiers PDF téléchargés sont traités entièrement en mémoire et jamais écrits sur un stockage permanent. Les fichiers XML générés sont disponibles au téléchargement puis immédiatement supprimés. Aucune donnée de facturation n'est conservée sur nos serveurs au-delà de la session active.

Chiffrement en transit

Toutes les connexions vers InvoicePeppol sont chiffrées avec TLS 1.3. Nous imposons le HTTPS partout avec des en-têtes HSTS. Vos données sont protégées dès qu'elles quittent votre navigateur jusqu'à leur arrivée sur nos serveurs.

Infrastructure basée dans l'UE

Nos serveurs principaux sont situés à Francfort, Allemagne. Pour l'extraction de données assistée par IA, le contenu des factures est transmis via des canaux chiffrés à notre prestataire de traitement et géré de manière transitoire — il n'est pas conservé au-delà de la durée de la requête. Tous les détails sur nos sous-traitants et les garanties de transfert de données sont disponibles dans notre Accord de traitement des données.

Sécurité des paiements

Nous utilisons Razorpay pour tout le traitement des paiements. Nous ne voyons, ne traitons ni ne stockons vos informations de carte bancaire. Razorpay est certifié PCI DSS Niveau 1 — le plus haut niveau de certification de sécurité des paiements.

Sécurité applicative

Notre application implémente des mesures de sécurité conformes aux normes du secteur :

• Protection CSRF sur tous les formulaires
• Limitation de débit sur les points de téléchargement
• Validation des fichiers (type, taille, vérification du contenu)
• Assainissement des entrées sur toutes les saisies utilisateur
• En-têtes Content Security Policy
• Cookies de session sécurisés, HttpOnly
• Expiration automatique de session après 24 heures

Divulgation responsable

Si vous découvrez une vulnérabilité de sécurité, veuillez nous contacter à [email protected]. Nous apprécions la divulgation responsable et répondrons rapidement.

Données de compte & suppression

Vous pouvez demander la suppression complète de votre compte et de toutes les données associées à tout moment en envoyant un e-mail à [email protected]. Nous supprimerons définitivement votre compte dans les 30 jours suivant votre demande. Pour en savoir plus sur les données que nous conservons et leur durée, consultez notre Politique de confidentialité.

DPA

Pour les clients professionnels : notre Accord de traitement des données (DPA) est disponible en téléchargement.
Télécharger le DPA (PDF)