Aller au contenu

Sécurité et données

Authentification

Connexion via Google (OAuth 2.0) ou email/mot de passe
Mot de passe : minimum 8 caractères requis
Protection CSRF sur tous les formulaires
Sessions sécurisées avec tokens à durée limitée

Contrôle d’accès

Système de rôles (RBAC) : Admin, Manager, Comptable, Utilisateur, Lecteur
Chaque action est vérifiée côté serveur avant exécution
Isolation complète entre entreprises (multi-tenant)
Voir la page Permissions et accès pour le détail

Chiffrement

HTTPS obligatoire sur toutes les connexions (TLS 1.2+)
Headers de sécurité : HSTS, Content Security Policy, X-Frame-Options
Données sensibles chiffrées au repos

Hébergement

Serveurs hébergés en Europe (OVH, région EU)
Infrastructure protégée par Cloudflare (pare-feu, DDoS protection)
Conteneurs Docker avec isolation des services
Sauvegardes régulières

Protection contre les attaques

Rate limiting sur les endpoints sensibles (authentification, webhooks)
Protection contre les injections (SQL, XSS, CRLF)
Validation et nettoyage de toutes les entrées utilisateur
Signatures HMAC sur les webhooks entrants

Conformité RGPD

Données hébergées en Europe
Droit de suppression : suppression complète des données personnelles sur demande (période de grâce de 30 jours)
Données personnelles purgées des logs
Les documents légaux (factures) sont conservés 10 ans conformément à la législation belge, même après suppression du contact

Facturation électronique

Les factures Peppol sont transmises via des points d’accès certifiés
Format UBL conforme aux normes européennes et belges
Credentials Peppol chiffrés

Bonnes pratiques pour les utilisateurs

Utilisez un mot de passe unique pour votre compte Neliox
Ne partagez pas vos identifiants avec vos collègues — créez un compte par personne
Attribuez le rôle minimum nécessaire à chaque utilisateur (principe du moindre privilège)
Vérifiez régulièrement la liste des utilisateurs actifs dans Paramètres → Utilisateurs
Déconnectez-vous sur les postes partagés