← Retour

Sécurité

Mis à jour : 25 avril 2026

Read in English →

OneStore manipule vos clés Apple .p8 et vos service accounts Google .json. La sécurité de ces secrets est notre engagement n°1.

Chiffrement

  • AES-256-GCM pour le chiffrement at rest des secrets.
  • Clés de chiffrement gérées par un KMS séparé, rotées tous les 90 jours.
  • TLS 1.3 obligatoire en transit.

Accès

  • Aucun employé n'a accès aux secrets en clair. Les opérations Apple/Google passent par un service signé qui dérive des JWT à courte durée de vie.
  • Accès admin protégé par WebAuthn obligatoire (passkeys).
  • Logs d'audit immuables, 12 mois.

Hébergement

Données et secrets hébergés en UE (Vercel + Neon EU). Aucun transfert hors UE pour les données chiffrées.

Conformité visée

SOC 2 Type II (audit prévu T4 2026), ISO 27001 (2027). RGPD natif.

Divulgation responsable

Trouvé une faille ? Écrivez-nous à support@onestore.so (clé PGP sur demande). Bug bounty à venir.