0ZeroAPI
Se connecterCommencer
Sécurité

Sécurité chez ZeroAPI

Dernière mise à jour : 26 mai 2026
On prend la sécurité au sérieux parce qu'on génère du code qui ira en production. Voici comment on protège ta plateforme, tes données et le code qu'on produit pour toi.

1. Chiffrement

  • En transit : toutes les communications utilisent TLS 1.3 (TLS 1.2 minimum pour la rétro-compatibilité). HSTS activé, redirection automatique HTTPS.
  • Au repos : bases de données et stockage objet chiffrés en AES-256. Les sauvegardes le sont aussi.
  • Secrets : variables d'environnement chiffrées, rotation trimestrielle des clés sensibles, séparation stricte des environnements (dev, staging, prod).

2. Authentification et accès

  • Mots de passe hachés avec argon2id, jamais stockés en clair.
  • OAuth 2.0 avec Google et GitHub (le mot de passe n'est jamais transmis à ZeroAPI).
  • Double authentification (2FA) par TOTP (applications type Authy, Google Authenticator) disponible pour tous les comptes, obligatoire pour les plans Business.
  • Sessions à expiration courte côté UI, refresh tokens rotatifs côté API.
  • SSO SAML / OIDC disponible sur le plan Business pour les organisations.
  • Accès du personnel : principe du moindre privilège, MFA obligatoire, audit log de toutes les actions admin.

3. Sécurité du code généré

Chaque backend généré par ZeroAPI inclut par défaut :

  • Validation Zod sur toutes les entrées (body, params, query, headers) ;
  • Échappement contextuel anti-XSS et requêtes paramétrées anti-SQLi (Prisma) ;
  • En-têtes de sécurité HTTP (Helmet) : CSP, X-Frame-Options, Referrer-Policy, Permissions-Policy ;
  • CORS strict configuré explicitement, pas de wildcard sauf demande ;
  • Rate limiting par IP et par token, configurable par endpoint ;
  • Authentification JWT signée HS256 ou RS256, expiration courte et rotation des clés ;
  • RBAC fin par rôle et par ressource ;
  • Logging structuré avec masquage automatique des champs sensibles (mots de passe, tokens, numéros de carte).

Une revue statique de sécurité (analyse AST + règles propriétaires) est exécutée avant la livraison du code, et toute alerte critique bloque la génération.

4. Infrastructure

  • Hébergement sur AWS (régions eu-west-3, eu-central-1) et OVH (Roubaix, Strasbourg). Région Afrique (Dakar) en cours de déploiement.
  • Cloudflare en frontal : protection DDoS, WAF, mitigation bot.
  • Sauvegardes chiffrées toutes les 6 heures, conservation 30 jours, restauration testée mensuellement.
  • Architecture multi-AZ, réplication automatique des données critiques.

5. Cycle de vie des secrets clients

Les secrets que tu fournis pour déployer (clés API Stripe, tokens cloud, identifiants base de données) sont :

  • chiffrés côté client avec une clé dérivée par PBKDF2 avant transit ;
  • stockés dans un coffre dédié (Vault), jamais en clair en base ;
  • injectés en variables d'environnement uniquement au moment du déploiement ;
  • supprimés du coffre 24 h après le déploiement réussi.

6. Gestion des incidents

Notre équipe de garde est joignable 24/7 pour les plans Business. En cas d'incident affectant tes données :

  • Notification par email et sur status.zeroapi.app dans les 4 heures.
  • Notification CDP (Sénégal) et CNIL (France) dans les 72 heures en cas de violation de données personnelles, conformément au RGPD article 33.
  • Rapport post-mortem public publié dans les 14 jours après résolution.

7. Programme de divulgation responsable

Tu as trouvé une faille ? Merci. Écris à security@zeroapi.app (clé PGP disponible sur demande) avec :

  • une description du problème et des étapes pour le reproduire ;
  • l'impact estimé ;
  • tes coordonnées si tu souhaites être crédité.

On accuse réception sous 48 h ouvrées. Pour les vulnérabilités confirmées, nous proposons des récompenses (« bug bounty ») selon la gravité, de 50 € à 2 000 €. Toute découverte effectuée de bonne foi et dans le respect du périmètre ne donnera lieu à aucune poursuite.

Hors périmètre : déni de service, ingénierie sociale, attaques physiques, vulnérabilités déjà reportées, tests sur les comptes d'utilisateurs sans leur consentement.

8. Conformité et audits

  • Conformité RGPD et loi sénégalaise n° 2008-12 — voir notre page RGPD.
  • Certification ISO 27001 en cours (objectif Q4 2026).
  • Tests d'intrusion externes annuels, rapports résumés disponibles sur demande pour les clients Business.
  • Revue de code obligatoire à deux pour toute modification touchant l'authentification, le stockage, le paiement ou la génération.

9. Ton rôle

La sécurité est un travail d'équipe. Quelques recommandations :

  • active la 2FA, utilise un gestionnaire de mots de passe ;
  • ne mets pas de vrais secrets dans tes prompts (utilise des placeholders) ;
  • relis le code généré avant un déploiement en production ;
  • maintiens à jour les dépendances de ton projet — on intègre Dependabot par défaut dans le repo généré.

10. Contact

Questions techniques : security@zeroapi.app
Conformité et données : dpo@zeroapi.app