Sécurité & Confidentialité

La sécurité de vos données est notre priorité

Billie applique les standards les plus stricts pour protéger vos informations de facturation. Chaque couche de notre architecture est conçue avec la sécurité en tête.

9 couches de sécurité
5 articles RGPD
0 mot de passe stocké

Accès limité à la facturation uniquement

IMPORTANT

Billie n'accède jamais à vos données bancaires — comptes, soldes, virements ou transactions. Seule la partie facturation, devis et gestion clients des outils connectés est accessible.

Scopes OAuth restreints : client_invoices clients attachments
Aucun scope bancaire : transactions balances
Ni Qonto, ni Pennylane, ni Shine ne donnent accès aux données bancaires via Billie

Chiffrement des données

ACTIF
  • Fernet AES-128-CBC + HMAC-SHA256 pour les tokens API au repos
  • RSA-OAEP + AES-128-GCM pour les échanges WhatsApp Flows
  • HTTPS/TLS pour toutes les communications (HSTS 1 an)
  • Aucun secret stocké en clair

Authentification sécurisée

ACTIF
  • Connexion OAuth2 officielle (Pennylane, Qonto) — Billie ne voit jamais vos mots de passe
  • Magic links : usage unique, expiration 5 minutes
  • Tokens JWT : httpOnly Secure SameSite=Lax, expiration 7 jours
  • Zéro base de données de mots de passe — aucune surface d'attaque

Vérification des webhooks

ACTIF
  • Email (Inbox Billie) : signature HMAC-SHA256 sur chaque webhook entrant + garde d'idempotence Redis
  • WhatsApp : signature HMAC-SHA256 obligatoire
  • Stripe : vérification de signature pour chaque événement de paiement

Isolation multi-tenant

ACTIF
  • Credentials chiffrés individuellement par utilisateur
  • Aucun token partagé entre utilisateurs
  • PII (téléphone) hashée en SHA-256 dans Redis
  • Impossible d'accéder aux données d'un autre utilisateur

Protection contre les abus

ACTIF
  • Circuit breaker à 2 niveaux : par utilisateur (5 échecs/30s) + global (20/60s)
  • Rate limiting : 30 req/min par utilisateur
  • Retry avec backoff exponentiel (2s, 4s, 8s) sur les erreurs serveur

En-têtes de sécurité HTTP

ACTIF
  • Content-Security-Policy restriction des scripts et ressources
  • Strict-Transport-Security HSTS 1 an + sous-domaines
  • X-Frame-Options: DENY anti-clickjacking
  • Referrer-Policy strict-origin-when-cross-origin

Conformité RGPD

CONFORME

Article 15

Droit d'accès et export JSON complet de vos données

Article 17

Droit à l'effacement avec période de grâce de 30 jours

Article 20

Portabilité complète de vos données

Article 30

Journal d'audit continu de toutes les actions

Accéder au tableau de bord RGPD →

Infrastructure

OPÉRATIONNEL

Railway

Hébergement avec routage européen

Supabase

PostgreSQL managé

Redis chiffré

Cache avec données chiffrées uniquement

CI/CD

Déploiement automatique depuis GitHub

Des questions sur la sécurité ?

Notre équipe est disponible pour répondre à toutes vos questions concernant la protection de vos données.

Nous contacter Consulter la FAQ