CYBERSÉCURITÉ

Conçu pour les opérateurs qui prennent la sécurité au sérieux.

ParkLiveMap manipule des données clients sensibles : plaques, identités, séjours. Voici nos engagements concrets, pas du marketing.

Souveraineté & hébergement

  • Hébergement exclusif en France, sur infrastructure OVHcloud (Roubaix / Gravelines).
  • Aucun transfert de données hors UE. Pas de CDN tiers américains. Pas d'analytics tiers.
  • Conformité Cloud Act évitée par design : aucun acteur soumis à juridiction extra-européenne.

Chiffrement bout en bout

  • TLS 1.3 pour tout trafic réseau, certificats Let's Encrypt renouvelés automatiquement.
  • Chiffrement au repos : volumes PostgreSQL et sauvegardes chiffrés AES-256.
  • Secrets gérés via variables d'environnement chiffrées, jamais en clair dans le code.

Authentification & autorisation

  • JWT à courte durée + refresh tokens rotatifs.
  • MFA (2FA par code email) pour les comptes administrateurs.
  • Rôles fins : Editeur, Lecteur, par plan. Permissions auditées.

Intégrations PMS sécurisées

  • Tous les webhooks PMS sont signés HMAC-SHA256.
  • Vérification de timestamp anti-replay (fenêtre 5 minutes).
  • Rejets logués et alertés en cas d'anomalie de signature.

RGPD & traitement des données

  • DPA (Data Processing Agreement) signable sur demande.
  • Registre des traitements maintenu et accessible.
  • Droit d'accès, rectification, effacement automatisé sous 30 jours.
  • Minimisation : seules les données nécessaires sont stockées (plaques, dates, jamais de photos clients sans consentement explicite).

Audit logs & traçabilité

  • Chaque action critique (modification de plan, attribution, déplacement, login admin) est tracée.
  • Logs immutables sur 12 mois minimum, exportables au format JSON.
  • Webhook d'audit disponible pour intégration SIEM (Datadog, Splunk, Elastic).

Sauvegardes & continuité

  • Sauvegardes chiffrées quotidiennes, rétention 30 jours.
  • Réplica de base de données en stand-by.
  • RPO < 24h, RTO < 4h.

Bonnes pratiques web

  • Headers HTTP stricts : CSP, HSTS preload, X-Frame-Options DENY, Referrer-Policy.
  • Pas de cookies non essentiels. Pas de tracker tiers.
  • Analytics self-hosted (Plausible), respect du DNT.

Une question sécurité ?

Notre équipe répond aux questionnaires sécurité et fournit la documentation conformité sur demande.

Nous contacter