Sécurité

Chiffrement

• · Toutes les communications sont chiffrées en transit via TLS 1.3
• · Les données au repos sont chiffrées (AES-256)
• · Les mots de passe ne sont jamais stockés en clair
• · Les clés API et secrets ne sont jamais exposés côté client

Authentification

• · Authentification sécurisée via Supabase Auth
• · Protection contre les attaques par force brute
• · Sessions à durée limitée avec rotation automatique des tokens
• · Authentification OAuth (Google) avec vérification de domaine

Protection de l'API

• · Rate limiting par utilisateur et par IP
• · Validation stricte de tous les paramètres d'entrée
• · Headers de sécurité : CSP, HSTS, X-Frame-Options, CORS maîtrisé
• · Protection contre les injections et attaques XSS

Upload de fichiers

• · Types de fichiers autorisés strictement définis
• · Taille maximale selon le plan
• · Fichiers stockés dans un espace privé isolé par utilisateur
• · Aucun fichier n'est accessible sans authentification

Audit & Monitoring

• · Journalisation des actions sensibles (connexion, suppression, export)
• · Logs sans données personnelles sensibles ni secrets
• · Détection d'anomalies en cours de déploiement

Signaler une vulnérabilité

Si vous découvrez une faille de sécurité, merci de nous contacter directement à security@mabele.ai avant toute divulgation publique. Nous prenons ces signalements très au sérieux.