Sécurité & confiance

Vos données pro,
protégées comme elles le méritent.

WhatStock gère le chiffre d'affaires, les marges et la fiscalité de vendeurs pro. La sécurité du produit est traitée comme un chantier continu, avec une architecture renforcée à chaque itération — sans promesses absolues, juste ce qui est réellement en place et ce qui arrive.

Authentification & accès

WhatStock n'est pas une plateforme à inscription libre. L'ouverture d'un compte actif passe toujours par une étape humaine côté équipe.

Ce qui est en place aujourd'hui

→ Validation manuelle de chaque demande d'essai par l'équipe (pas de création libre de compte actif)
→ Permissions et rôles vérifiés à chaque requête côté serveur
→ Mots de passe hachés en bcrypt (jamais stockés en clair)
→ Tokens de session signés et expirants — invalidés automatiquement après un changement ou une réinitialisation de mot de passe
→ Limitation des tentatives de connexion : 5 essais / 15 min → blocage temporaire 30 min (par email + IP)
→ Lien de réinitialisation à usage unique, valide 1h, invalidé après usage ou nouvelle demande
→ Unicité des emails strictement appliquée (normalisation + index unique en base)

En cours de déploiement

En cours · Google Login
Connexion via compte Google pour les utilisateurs déjà validés — sans contournement de l'étape de validation initiale.
En cours · 2FA administrateurs
Double authentification (TOTP) obligatoire sur les comptes administrateurs avant accès aux données globales.
En cours · Sécurité renforcée Société
Recommandation 2FA + audit trail détaillé sur les comptes Société.

Cloisonnement strict

Chaque utilisateur dispose d'un espace isolé. Toutes les données (stock, ventes, factures, paramètres fiscaux) sont filtrées par user_id au niveau de la base, et les permissions sont revalidées côté serveur à chaque requête.

Sauvegardes quotidiennes

Les données de la base sont sauvegardées chaque nuit. Une procédure de restauration est en place en cas d'incident, avec un objectif de remise en service le plus rapide possible.

Paiement Stripe

Aucune donnée bancaire ne transite par WhatStock. Les paiements sont traités directement par Stripe, certifié PCI-DSS. Pas de carte stockée chez nous, jamais.

Protection brute-force

Les tentatives de connexion sont surveillées en continu. Au-delà de 5 essais échoués en 15 min, l'IP et l'email sont bloqués 30 minutes automatiquement. Mêmes règles sur les demandes de réinitialisation de mot de passe.

Journalisation sécurité

Les événements de sécurité critiques (connexions, blocages, changements de mot de passe, suppressions de compte) sont enregistrés et conservés pour audit interne. Couverture progressivement étendue à d'autres actions sensibles.

Vos droits RGPD respectés

Accès, rectification, portabilité et suppression du compte directement depuis votre espace. Cascade automatique sur les principales collections de données, avec anonymisation des transactions financières soumises à conservation légale.

Architecture applicative

Quelques principes simples qui guident la conception de WhatStock — volontairement vulgarisés.

Le backend est la source de vérité

→ Le frontend (votre navigateur) ne décide jamais des permissions.
→ Chaque action sensible (création, modification, suppression, export) est revérifiée côté serveur, à chaque requête.
→ Si le frontend cache un bouton, le serveur le bloquerait aussi. La sécurité n'est jamais laissée au navigateur.

Permissions centralisées

→ Un seul point de vérification d'identité applique tous les contrôles d'accès.
→ Statut du compte (actif, archivé, suspendu) revérifié à chaque requête.
→ Les rôles (utilisateur / administrateur) sont gérés côté serveur uniquement, jamais transmis depuis le navigateur.

Données comptables & documentaires

WhatStock traite de la fiscalité, de la TVA, de la comptabilité de vendeurs TCG/collectibles — pas seulement du stock. La gestion des documents et des périodes comptables suit des règles strictes.

Verrouillage des périodes déclarées

→ Les ventes, achats et justificatifs d'une période fiscale clôturée sont verrouillés (lecture seule) après dépôt de la déclaration TVA.
→ Toute tentative de modification d'une période figée est refusée par le serveur.
→ Chaque déclaration produit un snapshot daté et un PDF figé, conservés en base.
→ Réouverture possible uniquement via une procédure documentée, avec création d'une nouvelle révision auditable.

Exports & conservation

→ Exports CSV / PDF / ZIP organisés par période — exploitables par votre cabinet comptable.
→ Justificatifs de factures liés directement aux écritures correspondantes.
→ Cleanup périodique des fichiers temporaires (tokens d'accès, exports éphémères).
→ Conservation des transactions financières conforme aux obligations de rétention légale.
→ Séparation claire entre les espaces utilisateurs (aucun document partagé entre comptes).

Sous le capot — détails techniques

Authentification & sessions

→ Mots de passe chiffrés en bcrypt (jamais en clair en base)
→ Tokens de session signés (HS256) avec expiration automatique
→ Invalidation des sessions après un changement ou une réinitialisation de mot de passe
→ Reset password par lien temporaire (1h max), à usage unique
→ Limitation brute-force : 5 essais / 15 min / blocage 30 min
→ Logs des tentatives de connexion (succès, échec, blocage) avec IP et user-agent

Données & communications

→ Communications HTTPS / TLS bout en bout
→ Base de données chiffrée au repos (encrypted at rest)
→ Justificatifs de factures : tokens UUID4 non-devinables
→ Cleanup automatique des fichiers temporaires obsolètes
→ Sauvegardes quotidiennes de la base avec procédure de restauration documentée

Paiements & abonnements

→ Paiement via Stripe Checkout (certifié PCI-DSS)
→ Aucune carte bancaire stockée par WhatStock
→ Acceptation explicite des CGV horodatée
→ Reçu PDF envoyé par email après chaque paiement
→ Annulation et remboursement traités sous 7 jours ouvrés

Vos droits RGPD

→ Accès à vos données (export ZIP)
→ Rectification à tout moment
→ Portabilité via export CSV / Excel
→ Suppression du compte directement depuis votre profil
→ Anonymisation des transactions financières (rétention légale 10 ans)

Roadmap sécurité

La sécurité est un chantier continu — voici ce qui est en cours de déploiement et ce qui est prévu à plus long terme. Sans dates promises : chaque évolution est testée puis intégrée quand elle est prête.

En cours

Connexion via Google (pour les utilisateurs déjà validés — pas un raccourci d'inscription)
Double authentification (TOTP) obligatoire administrateurs
Amélioration de la gestion des sessions et tokens

Prévu

Audit trail renforcé sur les actions sensibles
2FA recommandé sur les comptes Société
Visualisation des sessions actives + déconnexion à distance
Monitoring sécurité approfondi

Notre engagement transparence

Choisir un outil de gestion d'activité, c'est lui faire confiance. Si un incident de sécurité survenait, voici ce que nous nous engageons à faire :

Vous notifier par email dans les 72h (obligation RGPD)
Détailler quelles données ont été potentiellement exposées
Vous indiquer les actions correctives prises et celles à prendre de votre côté
Notifier la CNIL en cas d'incident significatif (obligation légale)

Construit par un vendeur, pour des vendeurs

WhatStock est pensé et construit par quelqu'un du secteur, qui connaît les contraintes réelles du métier : TVA sur marge, multi-plateformes, live selling, ventes en salon, dépôt-vente, prestations entre vendeurs.

Cela se traduit concrètement : les choix de structure, de journalisation et de verrouillage des périodes sont faits avec en tête le passage de relais à un expert-comptable, pas seulement la gestion d'un stock. La sécurité du produit suit la même logique — centrée sur les enjeux réels d'un vendeur professionnel.

Une question sur la sécurité ?

L'équipe répond directement aux questions techniques. Écrivez-nous, on vous répond sous 48h ouvrées.

Nous écrire Lire les CGV Pour les cabinets comptables

Vos données pro, protégées comme elles le méritent.