Sécurité
Authentification
Section intitulée « Authentification »- Connexion sécurisée via Apple, Google ou e-mail/mot de passe.
- Les mots de passe sont gérés par Firebase Authentication et ne sont jamais stockés en clair.
- La connexion Apple et Google utilise les protocoles OAuth 2.0 standards.
Données en transit
Section intitulée « Données en transit »Toutes les communications entre l’application, le tableau de bord web et les serveurs sont chiffrées en HTTPS/TLS. Aucune donnée ne circule en clair.
Données au repos
Section intitulée « Données au repos »Vos données cloud sont stockées sur l’infrastructure Google Cloud (Firebase), hébergée dans l’Union européenne. Google Cloud applique le chiffrement au repos pour l’ensemble des données stockées.
Rapports partagés
Section intitulée « Rapports partagés »- Les rapports partagés sont protégés par un mot de passe défini par vous.
- Les mots de passe sont vérifiés côté serveur (comparaison de hash SHA-256). Le mot de passe en clair n’est jamais stocké.
- Les liens de consultation utilisent des jetons HMAC signés avec une durée de validité limitée (1 heure).
- Une protection contre les tentatives répétées bloque l’accès après 5 essais incorrects pendant 15 minutes.
En-têtes de sécurité
Section intitulée « En-têtes de sécurité »Le tableau de bord web et le visualiseur de rapports appliquent des en-têtes HTTP de sécurité :
- X-Frame-Options: DENY — Empêche l’intégration dans des iframes non autorisées.
- X-Content-Type-Options: nosniff — Empêche l’interprétation incorrecte des types de fichiers.
- Referrer-Policy: strict-origin-when-cross-origin — Limite les informations transmises lors de la navigation.
Signaler un problème de sécurité
Section intitulée « Signaler un problème de sécurité »Si vous découvrez une vulnérabilité de sécurité, contactez-nous à contact@photoreport.app. Nous traiterons votre signalement en priorité.