Aller au contenu

Sécurité & transparence

Comment on protège ton compte, tes données et tes streams. Toutes les mesures listées ci-dessous sont en production aujourd'hui.

Authentification

  • Mots de passe protégés par hash adaptatif moderne
    Jamais stockés en clair. Une fuite éventuelle de base ne révèle pas tes credentials.
  • Sessions signées
    Cookies signés cryptographiquement avec rotation possible des secrets, attributs httpOnly + sameSite + secure en production.
  • 2FA optionnelle (TOTP)
    Compatible avec les applications standards (Google Authenticator, Authy, 1Password). Codes de récupération à usage unique en backup.
  • OAuth officiel pour les plateformes
    Aucun mot de passe Twitch / YouTube / Kick n'est stocké. Tokens chiffrés au repos, révocables depuis ton compte plateforme.

RGPD & vie privée

  • Export complet de tes données (Art. 15 + 20)
    Accessible depuis Mon compte → Sécurité. Format JSON portable.
  • Suppression de compte (Art. 17)
    Fenêtre de grâce avec lien d'annulation par email, puis suppression cascade complète. Données comptables conservées selon obligations légales.
  • Minimisation des données
    On ne collecte que ce dont les widgets ont besoin pour fonctionner. Pas de tracking publicitaire, pas de revente.
  • Bannière cookies conforme
    Consentement granulaire. Refus = aucun cookie non-essentiel posé.

Infrastructure

  • Hébergement souverain en France
    Données stockées exclusivement en Union Européenne. Pas de transit hors UE.
  • Sauvegardes quotidiennes
    Base de données dumpée chaque jour. Rotation des journaux par service.
  • TLS automatisé
    Certificats valides sur tous les sous-domaines, renouvelés automatiquement. HTTPS uniquement, redirection forcée.
  • En-têtes de sécurité durcis
    HSTS preload, anti-MIME-sniffing, Referrer-Policy strict, Permissions-Policy minimal, CSP avec reporting.

Monitoring & incident

  • Monitoring d'erreurs côté client et serveur
    Captation centralisée. Les données utilisateurs sensibles (tokens, emails) sont filtrées avant l'envoi.
  • Journaux structurés
    Logs JSON, rotation par service. Aucun mot de passe ni token loggé.
  • Webhooks signés HMAC
    Tous les webhooks sortants sont signés. Protection SSRF stricte sur les URLs cibles.
  • Page de statut publique
    Voir /status pour l'état des services.

Une question, un signalement de vulnérabilité, une demande RGPD ? contact@streamgear.fr