Architecture de sécurité
Défense en profondeur, chaque couche protège la suivante.
Chiffrement AES-256 at-rest
Toutes vos données sensibles — photos corporelles, notes, biomarqueurs — sont chiffrées au repos avec AES-256 avant stockage.
Transport TLS 1.3
Chaque échange entre votre navigateur et nos serveurs est chiffré via TLS 1.3, le protocole le plus robuste actuellement disponible.
Security headers complets
HSTS strict, Content-Security-Policy, X-Frame-Options DENY et X-Content-Type-Options nosniff activés sur tous nos endpoints.
Tokens CSRF sur toutes les mutations
Chaque action d'écriture (création, modification, suppression) est protégée par un token CSRF à usage unique, côté serveur.
Rate limiting par IP
Tous nos endpoints publics et authentifiés disposent d'un rate limiting par adresse IP pour prévenir le brute-force et les abus.
Hébergement 100% EU
Vos données restent en Europe, sans exception.
Notre infrastructure applicative est hébergée exclusivement dans le datacenter EU de Vercel, à Francfort, Allemagne.
Notre base de données distribuée Turso est configurée sur les nœuds EU edge, garantissant que vos données ne quittent pas l'Europe.
Aucune donnée personnelle n'est transférée hors UE sans garanties contractuelles conformes au RGPD (clauses contractuelles types).
Privacy par design
La confidentialité n'est pas une option — c'est l'architecture de base.
Photos corporelles chiffrées
Vos photos de check-in sont stockées dans un espace privé Vercel Blob, accessibles uniquement via signed URLs à expiration courte. Personne ne peut y accéder directement.
Zéro accès humain à vos données
Aucun membre de notre équipe ne visualise vos données personnelles ou de santé. L'accès aux systèmes de production est journalisé et audité.
Suppression totale garantie
La suppression de votre compte déclenche une suppression complète de toutes vos données dans les 30 jours, y compris les sauvegardes chiffrées.
Paiements sécurisés
Votre numéro de carte ne touche jamais nos serveurs.
Stripe PCI-DSS Level 1
Tous les paiements sont traités par Stripe, certifié PCI-DSS Niveau 1 — le plus haut niveau de certification pour la sécurité des données de carte.
Zéro CB stockée chez PeptiCore
PeptiCore ne stocke jamais votre numéro de carte bancaire, CVV ou date d'expiration. Ces données restent exclusivement chez Stripe.
Flux financiers côté Stripe
L'intégralité des flux financiers (paiements, remboursements, abonnements récurrents) est orchestrée par Stripe via ses APIs sécurisées.
Modération de la communauté
Un espace sûr pour des échanges de qualité.
IA assistée + équipe humaine
Un premier passage automatique détecte les contenus problématiques. Chaque signalement est ensuite traité par notre équipe.
Escalation < 1h sur critique
Les signalements critiques (danger immédiat, harcèlement grave) font l'objet d'une escalation interne avec engagement de traitement sous une heure.
Politique de modération publique
Nos règles de modération sont publiquement accessibles, claires et appliquées de manière cohérente pour tous les membres de la communauté.
Des questions sur notre sécurité ?
Notre équipe est disponible pour répondre à toute question concernant la sécurité de vos données.